Doorgifte persoonsgegevens buiten de EER
Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de Europese Economische Ruimte (EER) gelden aparte regels. Landen buiten de EER worden ook wel ‘derde landen’ genoemd.
Op deze pagina
Derde landen zijn alle landen buiten de Europese Unie (EU), met uitzondering van de landen die wel onderdeel zijn van de EER. Dit zijn Noorwegen, Liechtenstein en IJsland. Deze 3 landen kennen hetzelfde niveau van bescherming van persoonsgegevens als de EU.
De belangrijkste regel is dat u persoonsgegevens alleen mag doorgeven naar derde landen die een passend beschermingsniveau hebben. Heeft een derde land geen passend beschermingsniveau? Dan mag doorgifte alleen op grond van een van de wettelijke bepalingen uit hoofdstuk V van de Algemene verordening gegevensbescherming (AVG).
Het is in 3 gevallen mogelijk om persoonsgegevens door te geven naar een derde land. Namelijk op basis van:
- een adequaatheidsbesluit;
- passende waarborgen, zoals een modelcontract, een gedragscode, certificering of ‘binding corporate rules’ (BCR);
- specifieke uitzonderingen.
Doorgifte op basis van een adequaatheidsbesluit
Biedt een derde land een passend niveau van gegevensbescherming in de nationale wetgeving? Dan kan de Europese Commissie (EC) een adequaatheidsbesluit nemen (artikel 45 van de AVG). De EC stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG.
Zo’n besluit kan de EC over een heel land nemen, maar ook over een bepaalde sector binnen een land. Bijvoorbeeld Canada, waar het adequaatheidsbesluit alleen geldt voor commerciële bedrijven.
Het gaat om deze landen:
- Andorra
- Argentinië
- Canada (alleen commerciële bedrijven)
- Faeröer Eilanden
- Guernsey
- Isle of Man
- Israël
- Japan
- Jersey
- Nieuw-Zeeland
- Uruguay
- Verenigd Koninkrijk
- Verenigde Staten (organisaties die meedoen aan het Data Privacy Framework)
- Zwitserland
- Zuid-Korea.
Voor doorgifte naar deze landen of sectoren hoeft u dus geen aanvullende waarborgen te treffen als u persoonsgegevens wilt doorgeven. Op de website van de Europese Commissie vindt u hier meer informatie over.
Let op: Wilt u persoonsgegevens doorgeven naar de Verenigde Staten (VS)? Er gelden aparte regels voor doorgifte persoonsgegevens naar de VS.
Doorgifte op basis van passende waarborgen
Het is ook mogelijk om persoonsgegevens door te geven naar een derde land door zogeheten passende waarborgen te treffen. Dit houdt in dat u extra actie onderneemt om de persoonsgegevens te beschermen. U heeft dan de volgende mogelijkheden:
- Gebruik een modelcontract.
- Zorg voor een gedragscode of certificering.
- Stel binding corporate rules op.
Gebruik een modelcontract
Is er geen sprake van een adequaatheidsbesluit door de EC? Dan moet er een andere passende waarborg zijn als u persoonsgegevens wilt doorgeven naar een derde land. Dat kan met een modelcontract (ook wel ‘standard contractual clauses’ of SCC genoemd) dat door de EC is vastgesteld (artikel 46 (2) onder c van de AVG).
Zorg voor een gedragscode of certificering
Andere manieren om voor een passend beschermingsniveau te zorgen zijn een goedgekeurde gedragscode (artikel 46 (2) onder e van de AVG) of via een certificeringsmechanisme (artikel 46 (2) onder f van de AVG).
Let op: wilt u deze instrumenten gebruiken voor doorgifte? Dan stelt de AVG wel als voorwaarde dat u bindende en afdwingbare toezeggingen heeft van de partij in het derde land dat die partij de juiste waarborgen toepast.
Meer informatie over gedragscodes als doorgifte-instrument vindt u in de Guidelines on Codes of Conduct as tools for transfers van de European Data Protection Board (EDPB).
Stel binding corporate rules op
Binding corporate rules (BCR) zijn interne bedrijfsvoorschriften van organisaties die binnen de EER zijn gevestigd, voor doorgifte van persoonsgegevens buiten de EER binnen een groep van ondernemingen.
Doorgifte op basis van specifieke uitzonderingen
Is doorgifte op basis van de eerdergenoemde opties niet mogelijk? In zeldzame gevallen kunt u een beroep doen op specifieke uitzonderingen die in artikel 49 van de AVG staan. Welke gevallen dat zijn en hoe u dit aanpakt, leest u in de Richtsnoeren inzake afwijkingen op grond van artikel 49 van Verordening 2016/679 van de EDPB.
Aanvullende waarborgen
In de publicatie Aanbevelingen voor maatregelen ter aanvulling op doorgifte-instrumenten van de EDPB staan aanbevelingen voor aanvullende waarborgen die u kunt overwegen om persoonsgegevens goed te beschermen bij internationale doorgifte. Zoals encryptie en pseudonimisering. U moet per geval bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.
Toezicht AP
Heeft een derde land geen passend beschermingsniveau? En kan er geen beroep worden gedaan op een wettelijke uitzondering? Dan is doorgifte naar dat land onrechtmatig en dus niet toegestaan.
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de doorgifte van persoonsgegevens naar derde landen door in Nederland gevestigde organisaties. De AP kan een boete geven aan organisaties die onrechtmatig gegevens naar derde landen doorgeven.