Grensoverschrijdende verwerkingen

Als organisatie kunt u persoonsgegevens verwerken in meer dan een EU-lidstaat. Bijvoorbeeld als u vestigingen heeft in Nederland en Frankrijk en beide vestigingen persoonsgegevens verwerken. Maar ook als u binnen één lidstaat persoonsgegevens verwerkt, kan er sprake zijn van een grensoverschrijdende gegevensverwerking.

Op deze pagina

Binnen één lidstaat 

Verwerkt u binnen één lidstaat gegevens? Dan is die verwerking toch grensoverschrijdend als mensen in meer dan een lidstaat wezenlijke gevolgen ondervinden van uw gegevensverwerking. Of waarschijnlijk zullen ondervinden.

Bijvoorbeeld als u in Nederland gevestigd bent, maar gegevens verwerkt van consumenten uit andere EU-landen. Of voor activiteiten die bijvoorbeeld zowel mensen in Nederland als in België betreffen.

Wezenlijke gevolgen

De Algemene verordening gegevensbescherming (AVG) geeft geen definitie van ‘wezenlijke gevolgen’. De privacytoezichthouders beoordelen dit per geval.

Daarbij houden zij rekening met:

  • de context waarbinnen u persoonsgegevens verwerkt;
  • het soort gegevens dat u verwerkt;
  • het doel van uw gegevensverwerking.

Ook beoordelen zij of uw gegevensverwerking bijvoorbeeld:

  • kan zorgen voor schade of nadeel voor de mensen van wie u gegevens verwerkt;
  • gevolgen kan hebben voor hun gezondheid of welzijn;
  • kan leiden tot discriminatie of ongelijke behandeling.