Doorgifte persoonsgegevens naar de VS
Wilt u persoonsgegevens doorgeven vanuit een land in de Europese Economische Ruimte (EER) naar een organisatie in de Verenigde Staten (VS)? Hoe dit werkt, hangt ervan af of die organisatie wel of niet meedoet aan het Data Privacy Framework. Dit zijn afspraken over veilige doorgifte van persoonsgegevens naar de VS.
Op deze pagina
Controleren of organisatie meedoet aan het Data Privacy Framework
U moet eerst controleren of de organisatie in de VS waarnaar u persoonsgegevens wilt doorgeven, meedoet aan het Data Privacy Framework. U controleert dit op de website van het Data Privacy Framework.
Dat een organisatie meedoet, wil nog niet automatisch zeggen dat ook alle producten van deze organisatie onder het Data Privacy Framework vallen. Wilt u een specifiek product van een (grote) organisatie gebruiken, zoals bepaalde software? Dan adviseert de Autoriteit Persoonsgegevens (AP) u om aanvullend zelf na te vragen bij deze organisatie of dit product ook onder het Data Privacy Framework valt.
Organisatie doet mee aan het Data Privacy Framework
Doet de organisatie in de VS waarnaar u persoonsgegevens wilt doorgeven mee aan het Data Privacy Framework? En als u een specifiek product wilt gebruiken, valt dit ook onder het Data Privacy Framework? Dan mag u de persoonsgegevens doorgeven. U hoeft hiervoor geen ander doorgifte-instrument te gebruiken. Ook hoeft u geen extra maatregelen te nemen om de gegevens te beschermen.
Organisatie doet niet mee aan het Data Privacy Framework
Doet de organisatie in de VS waarnaar u persoonsgegevens wilt doorgeven niet mee aan het Data Privacy Framework? Dan mag u de persoonsgegevens alleen doorgeven onder deze 2 voorwaarden:
- U gebruikt een doorgifte-instrument voor doorgifte naar een land buiten de EER. Zoals een modelcontract of binding corporate rules (BCR).
- U neemt extra maatregelen om de persoonsgegevens te beschermen indien nodig.
Extra maatregelen voor doorgifte persoonsgegevens naar de VS
Om de extra maatregelen te bepalen, kunt u de Aanbevelingen voor maatregelen ter aanvulling op doorgifte-instrumenten van de EDPB gebruiken.
De EDPB noemt verschillende waarborgen die u kunt overwegen, zoals goede encryptie en pseudonimisering. U moet per geval bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.
Dit is het Data Privacy Framework
Op 10 juli 2023 zijn nieuwe afspraken in werking getreden tussen de Europese Commissie (EC) en de VS over de doorgifte van persoonsgegevens vanuit de EER naar de VS. Die afspraken staan bekend onder de naam Data Privacy Framework.
De EC heeft een adequaatheidsbesluit genomen over de VS. Dat houdt in dat de EC heeft beoordeeld dat het niveau van bescherming van persoonsgegevens in de VS vergelijkbaar is met dat in de EER. Dit adequaatheidsbesluit is onderdeel van het Data Privacy Framework.
Organisaties in de VS kunnen meedoen aan het Data Privacy Framework. Doorgifte van persoonsgegevens vanuit de EER naar deze organisaties is dan toegestaan zonder dat de Europese partij extra juridische en technische maatregelen hoeft te nemen.
Opvolger van Privacy Shield
Het Data Privacy Framework is de opvolger van het Privacy Shield. Het Hof van Justitie van de Europese Unie verklaarde in 2020 het Privacy Shield ongeldig in de zaak Schrems II. Daardoor konden organisaties het Privacy Shield niet meer gebruiken voor doorgifte van persoonsgegevens naar de VS.
Met het Data Privacy Framework zijn er nieuwe afspraken tussen Europa en de VS. Volgens de EC is het nu veilig om persoonsgegevens door te geven naar organisaties in de VS die meedoen aan het Data Privacy Framework.