Zo verwerk je veilig persoonsgegevens in het buitenland

Wissel jij persoonsgegevens uit met partijen in het buitenland? Weet jij waar je aan moet voldoen om een goed beschermingsniveau te waarborgen? Wij geven je een praktisch overzicht waar dit per land, binnen en buiten de EU, is toegelicht.

Belangrijk uitgangspunt is dat de bescherming van persoonsgegevens niet in alle landen op dezelfde manier geregeld is. Het doorgeven van persoonsgegevens vanuit Nederland naar het buitenland mag alleen als dit land voldoende bescherming biedt.

Binnen EU: Voldoen aan de Avg

Sinds de invoering van de Avg geldt binnen de gehele EU dezelfde privacywetgeving en is het niveau van gegevensbescherming gelijk. Er gelden geen extra regels voor het uitwisselen van gegevens. Zo kan je eenvoudig een klant (verwerkingsverantwoordelijke) hebben die in een ander EU land gevestigd is dan zijn IT-leverancier (verwerker). Klant en leverancier hoeven alleen te voldoen aan de eisen die volgen uit de Avg. Lees onze 10 vragen over de Avg voor uitleg over begrippen als ‘verwerkingsverantwoordelijke’ ‘verwerker’ en ‘persoonsgegeven’.

Buiten EU: ieder land anders

Voor de doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de Europese Unie (EU) / Europese Economische Ruimte (EER) – de zogenoemde ‘derde landen’- gelden andere regels. Er moet een ‘passend beschermingsniveau’ zijn: dat betekent dat het beschermingsniveau van persoonsgegevens in dat derde land gelijkwaardig moet zijn aan dat van Europa.

Er bestaan een aantal opties voor het waarborgen van een passend beschermingsniveau in derde landen. We hebben ze voor je op een rijtje gezet.

Maar let op: alleen het feit dat er een passend beschermingsniveau is in een land betekent niet dat persoonsgegevens doorgegeven mogen worden aan een leverancier in dit land. Aan de andere vereisten van de Avg dient nog steeds te worden voldaan. Denk bijvoorbeeld aan het afsluiten van een verwerkersovereenkomst.

Moet je voldoen aan de Avg?

Zijn er aanvullende eisen?

Waar moet je op letten?

Binnen de EER
Landen die lid zijn van de EU, plus Noorwegen, Liechtenstein en IJsland.
Zie hier een actueel overzicht
JaNeePer 31 januari 2020 is het Verenigd Koninkrijk geen lid meer van de EER door de ‘Brexit’. Zie voor regels voor doorgifte aan het VK de kolom hieronder.
Buiten de EER
Veilige landen
Andorra, Argentinië, (beperkt) Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Verenigd Koninkrijk, (beperkt) Verenigde Staten, Zwitserland en Zuid-Korea.
Zie hier een actueel overzicht
JaVoor deze landen is een adequaatheidsbesluit genomen. Daar kunnen aanvullende eisen in staan.Canada: adequaatheidsbesluit geldt alleen voor commerciële organisaties.

Verenigde Staten: adequaatheidsbesluit geldt alléén als de Amerikaanse partij zich heeft aangesloten bij het EU-US Data Privacy Framework en de betreffende diensten en/of producten heeft aangemeld.
Buiten de EER Op basis van een overeenkomstJaJa, doorgifte kan op basis van een goedgekeurd modelcontract.
Ook wel: Standaard Contractual Clauses (SCC’s)
De Europese Commissie heeft SCC’s opgesteld, deze vind je op de website van de Europese Commissie. De SCC’s bestaan uit een algemeen deel en vier modules:

  • doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke
  • doorgifte van verwerkingsverantwoordelijke naar verwerkerdoorgifte van (sub)verwerker naar (sub)verwerkerdoorgifte van (sub)verwerker naar verwerkingsverantwoordelijke
Gebruik je de SCC’s zoals ze zijn gepubliceerd, dus zonder aanvullingen of wijzigingen? Dan heb je geen toestemming van de Autoriteit Persoonsgegevens nodig voor de doorgifte. Wil je de SCC’s aanvullen of wijzigen? Of gebruik maken van zelf opgestelde standaardbepalingen waarin de specifieke omstandigheden van je doorgifte zijn geregeld? Dan moet je eerst toestemming vragen aan de AP voor de doorgifte. Meer informatie vind je op de website van de AP.
Buiten de EER Op basis van een gedragscode of certificeringJaJa, doorgifte kan op basis van een goedgekeurde gedragscode of goedgekeurde certificering.Onder de Avg kan een organisatie zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurde certificering.

Er zijn op dit moment nog geen voor Europa goedgekeurde gedragscodes en certificeringen specifiek gericht op doorgiften naar derde landen.*
Buiten de EER Geen van bovenstaande waarborgen, wel binnen je eigen organisatie.JaJa, doorgifte kan op basis van goedgekeurde bindende bedrijfsvoorschriften (Binding Corporate Rules, BCR’s) die gelden binnen de diverse onderdelen van de internationale organisatie of multinational.Bij de toezichthouder goedkeuring vragen voor en gebruik maken van BCR’s is een traject dat vooral interessant voor grote corporates die zich daarin goed laten adviseren.
Buiten de EER Geen van bovenstaande waarborgen.JaJaEr zijn uitzonderingssituaties in de Avg. Deze uitzonderingen zijn met name bedoeld voor verwerkingsactiviteiten die incidenteel en niet repetitief zijn.

Bijvoorbeeld: doorgifte op basis van toestemming van de betrokkene, noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of noodzakelijk voor het instellen van een rechtsvordering.

* Afspraken op basis van een gedragscode of certificering

Onder de Avg kan een organisatie zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurde certificering.

Op dit moment is het nog niet mogelijk om een Avg-certificaat aan te vragen, omdat er in Nederland nog geen geaccrediteerde certificatie-instellingen voor het afgeven van Avg-certificaten zijn. Er zijn ook nog geen gedragscodes gericht op doorgifte aan derde landen.

NLdigital heeft wel als eerste goedgekeurde Nederlandse gedragscode de Data Pro Code opgesteld, maar let op: deze gedragscode gaat over hoe verwerkers aan hun verplichtingen onder de Avg kunnen voldoen, en ziet niet specifiek op doorgifte aan derde landen.

Wil je individueel advies?

De juristen van NLdigital geven onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy, zoals het op een rechtmatige manier verwerken van persoonsgegevens in het buitenland. Je kunt eenvoudig contact met hen opnemen. Leden van NLdigital kunnen hun vraag ook indienen via het ledenportal.

Ben je nog geen lid? Dan is dit een mooi moment om wel lid te worden! Lees hier meer over het lidmaatschap van NLdigital.


Deel via:

Het laatste nieuws

Marcel Timmer van Red Hat over het lidmaatschap bij NLdigital

Red Hat ziet in NLdigital een essentieel netwerk om samen te werken aan digitale soevereiniteit, cybersecurity en keuzevrijheid in IT. Het lidmaatschap biedt waarde door kennisdeling, beleidsbeïnvloeding en een sterk ecosysteem van partners binnen de Nederlandse digitale sector.
Werkgeverschap

Iquality over NLdigital: Een partner die juridische zekerheid en vooruitblik biedt

"Voor een organisatie als de onze, zonder juristen in huis, is het ontzettend waardevol om een partner te hebben die...
Contracten & voorwaarden

NLdigital lanceert ambitieus verkiezingsmanifest: “Nederland digitaal vooruit” 

NLdigital, de branchevereniging van 600 digitale bedrijven in Nederland, presenteert vandaag haar verkiezingsmanifest "Nederland digitaal vooruit - Een agenda voor de verkiezingen van 2025". Met een dringende oproep tot actie schetst de organisatie hoe Nederland door massale digitalisering de grootste economische uitdaging uit haar geschiedenis kan overwinnen. 
Politiek & wetgeving

Een diep geloof in het talent van mensen:  zij-instroompact voor ICT-potentieel

NLdigital zet in dit artikel de digitale prioriteiten van het Deense voorzitterschap uiteen en deelt in een volgend artikel onze analyse. 
Digitaal Talent

Denemarken neemt EU-voorzitterschap over en zet in op digitale weerbaarheid

NLdigital zet in dit artikel de digitale prioriteiten van het Deense voorzitterschap uiteen en deelt in een volgend artikel onze analyse. 
Politiek & wetgeving