Zo verwerk je veilig persoonsgegevens in het buitenland

Wissel jij persoonsgegevens uit met partijen in het buitenland? Weet jij waar je aan moet voldoen om een goed beschermingsniveau te waarborgen? Wij geven je een praktisch overzicht waar dit per land, binnen en buiten de EU, is toegelicht.

Belangrijk uitgangspunt is dat de bescherming van persoonsgegevens niet in alle landen op dezelfde manier geregeld is. Het doorgeven van persoonsgegevens vanuit Nederland naar het buitenland mag alleen als dit land voldoende bescherming biedt.

Binnen EU: Voldoen aan de Avg

Sinds de invoering van de Avg geldt binnen de gehele EU dezelfde privacywetgeving en is het niveau van gegevensbescherming gelijk. Er gelden geen extra regels voor het uitwisselen van gegevens. Zo kan je eenvoudig een klant (verwerkingsverantwoordelijke) hebben die in een ander EU land gevestigd is dan zijn IT-leverancier (verwerker). Klant en leverancier hoeven alleen te voldoen aan de algemene eisen die volgen uit de Avg. Lees onze 10 vragen over de Avg voor uitleg over begrippen als ‘verwerkingsverantwoordelijke’ ‘verwerker’ en ‘persoonsgegeven’.

Buiten EU: Ieder land anders

Voor de doorgifte van persoonsgegevens vanuit Nederland naar buiten de Europese Economische Ruimte – de derde landen- gelden andere regels. Zo moet er onder andere een passend beschermingsniveau zijn. Er bestaan een aantal opties voor het waarborgen van een passend beschermingsniveau in derde landen. We hebben ze voor je op een rijtje gezet. Maar let op: alleen het feit dat er een passend beschermingsniveau is in een land betekent niet dat persoonsgegevens doorgegeven mogen worden aan een leverancier in dit land. Aan de andere vereisten van de Avg dient nog steeds te worden voldaan. Denk bijvoorbeeld aan het afsluiten van een verwerkersovereenkomst.

Moet je voldoen aan de Avg?

Zijn er aanvullende eisen?

Waar moet je op letten?

Binnen de EER Landen die lid zijn van de EU, plus Noorwegen, Liechtenstein en IJsland. Zie hier een actueel overzichtJaNeePer 31 januari 2020 is Groot-Brittannië geen lid meer van de EER. Er geldt een overgangsfase, zodat tot 31 december 2020 alle EU-regels van kracht blijven.
Buiten de EER Veilige landen Andorra, Argentinië, (beperkt) Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw Zeeland, Zwitserland, Uruguay en (beperkt) VS Zie hier een actueel overzichtJaEr moet een adequaatheidsbesluit zijn genomen. Daar kunnen aanvullende eisen in staan.Canada: adequaatheidsbesluit geldt alleen voor commerciële organisaties. Verenigde Staten: adequaatheidsbesluit geldt alléén als de verwerkende partij zich heeft aangesloten bij EU-VS Privacy Shield; of als het gaat om Passenger Name Records. Let op: het Privacy Shield is ongeldig verklaard in de uitspraak Schrems II. Dit is met onmiddellijke ingang van kracht. Organisaties in de EU kunnen geen persoonsgegevens aan de VS meer doorgeven op grond van het Privacy Shield. Hier leggen we uit welke stappen je kan ondernemen als jouw organisatie persoonsgegevens doorgeeft aan een partij in de VS.
Buiten de EER Op basis van een overeenkomstJaJa, doorgifte kan op basis van een goedgekeurd modelcontract. Ook wel: Standaard contractual clausesDe Europese Commissie heeft drie modelcontracten goedgekeurd:
  • verwerkingsverantwoordelijke binnen de EU en verwerkingsverantwoordelijke buiten de EU (twee varianten).
  • verwerkingsverantwoordelijke binnen de EU en een verwerker buiten de EU (één variant).
Er bestaat op het moment van schrijven nog geen variant voor doorgifte tussen verwerkers. Let op: het kan zijn dat je aanvullende afspraken moet maken om te voldoen aan bijvoorbeeld artikel 28 Avg.
Buiten de EER Op basis van een gedragscode *JaJa, een goedgekeurde gedragscode.Onder de Avg kan een (sub)verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat. Er zijn op dit moment nog geen voor Europa goedgekeurde gedragscodes en certificaten.
Buiten de EER Geen van bovenstaande waarborgen, wel binnen je eigen organisatie.JaJa, goedgekeurde bindende bedrijfsvoorschriften die gelden binnen de diverse onderdelen van de groepsmaatschappij.Bij de toezichthouder goedkeuring vragen voor en gebruik maken van Binding Corporate Rules (BCR’s) is een traject dat vooral interessant voor grote corporates die zich daarin goed laten adviseren.
Buiten de EER Geen van bovenstaande waarborgen.JaJaEr zijn uitzonderingssituaties in de Avg. Deze uitzonderingen zijn met name bedoeld voor verwerkingsactiviteiten die incidenteel en niet repetitief zijn. Bijvoorbeeld: doorgifte op basis van toestemming van de betrokkene, noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of noodzakelijk voor het instellen van een rechtsvordering. 

* Afspraken op basis van een gedragscode

Onder de Avg kan een (sub)verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat. De Europese commissaris voor justitie, consumentenrechten en gendergelijkheid, Vera Jourová, ziet een rol weggelegd voor certificering en het aansluiten bij een gedragscode om aan te tonen dat is voldaan aan de verplichtingen van de Avg. De Europese Commissie heeft zich bereid verklaard om dit te faciliteren, maar de initiatieven daartoe moeten uit de markt komen. Dit sluit mooi aan bij de Data Pro Code van NLdigital, waarin we een op de (ICT)verwerker toegespitste uitleg geven aan de Avg. De Data Pro Code is in eerste instantie alleen van toepassing op Nederland.

Wil je individueel advies?

De juristen van NLdigital geven onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy, zoals het op een rechtmatige manier verwerken van persoonsgegevens in het buitenland. Je kunt eenvoudig contact met hen opnemen.


Deel via:

Het laatste nieuws

Overheid toont eindelijk uitwerking cybersecuritywet NIS2: laat weten wat jij ervan vindt!

De conceptuitwerking van de NIS2-wet voor Nederland is gepubliceerd: de Cyberbeveiligingswet! Dit betekent dat we eindelijk duidelijkheid krijgen over wat de overheid precies voor ogen heeft met de wet die zij wil invoeren.
Cybersecurity

Hoofdlijnenakkoord 2024: plussen en minnen voor de digitale sector

Het Hoofdlijnenakkoord van de PVV, VVD, NSC en BBB laat voor de ICT-sector een wisselend beeld zien. Enerzijds is er volop ambitie om Nederland een aantrekkelijk vestigingsland te laten blijven, anderzijds wordt er stevig gesnoeid in de middelen voor innovatie.
Politiek & wetgeving

Help ons aan de 100 en help daarmee jezelf!

Het tekort aan gekwalificeerd ICT-talent is voor veel leden een rem op groei. Als collectief zetten we ons in om deze uitdaging te tackelen. Onderdeel daarvan is: meer inzicht in de aard van het probleem en mogelijke oplossingen. Vul je de enquête in?
Opleiding & arbeidsmarkt

Brancherapportage ArboNed: verzuimcijfers digitale sector

Hoe zijn de verzuimcijfers in de sector? ArboNed heeft een uitgebreide rapportage samengesteld met verzuimcijfers van werkgevers binnen de digitale sector. Bekijk de stand van zaken en hoe jouw bedrijf zich verhoudt tot anderen in de sector.
Werkgeverschap

Data Pro Code: eenjarig jubileum toezichthouder SCOPE Europe

Het is een jaar geleden dat SCOPE Europe de accreditatie ontving van de Autoriteit Persoonsgegevens voor hun cruciale rol als toezichthoudend orgaan voor de Data Pro Code.
Avg & privacy