Doorgifte persoonsgegevens

Op 28 juni 2021 heeft de Europese Commissie het adequaatheidsbesluit met het Verenigd Koninkrijk aangenomen. Daarmee wordt eindelijk - en net op tijd voor de deadline van 1 juli 2021! - duidelijkheid geboden op het gebied van gegevensbescherming na de brexit-deal die op 1 januari 2021 is ingegaan.
In het najaar van 2021 heeft het VK aangegeven dat het de Europese gegevensbeschermingsregels op enkele punten wil herzien. Dit zou de status 'land met adequaat of passend beschermingsniveau' kunnen ondermijnen.

De Algemene Verordening Gegevensbescherming AVG

De AVG bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken. Zeker bij de inzet van cloud computing hebben deze regels extra aandacht nodig.

Het exporteren van persoonsgegevens: internationale doorgifte

Het exporteren van persoonsgegevens, ook wel (internationale) doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De gebruikelijke verwerkingsgrondslagen zijn hierop onverkort van toepassing (voor deze grondslagen zie: bescherming persoonsgegevens). Daarnaast zijn er in veel gevallen bijzondere voorwaarden van toepassing op de doorgifte van persoonsgegevens. Hierbij wordt onderscheid gemaakt tussen doorgifte naar een EU-lidstaat en doorgifte naar een land buiten de EU (eigenlijk: de EER, die naast de EU ook Noorwegen, Liechtenstein en IJsland omvat).
Op de export van persoonsgegevens naar een EU-lidstaat zijn geen extra regels van toepassing. Daarentegen is doorgifte naar een land buiten de Europese Unie aan strenge regels onderworpen. Dit om een adequaat niveau van bescherming van de gegevens te waarborgen. Deze regels worden hieronder kort toegelicht.

Doorgifte buiten de EU + toereikend beschermingsniveau

Hoofdregel is dat persoonsgegevens uitsluitend mogen worden doorgegeven naar landen die een passend beschermingsniveau waarborgen. Via zogenoemde adequaatheidsbesluiten wordt door de Europese Commissie bepaald welke landen dit zijn. Zie de lijst van landen met passend beschermingsniveau.

Voor de Verenigde Staten gold tot oktober 2015 een aparte regeling, feitelijk ook een adequaatheidsbesluit: Safe Harbor. Deze regeling werd vervangen door het EU-US Privacy Shield, dat op zijn beurt op 16 juli 2020 ongeldig werd verklaard (de zaak Schrems II).

Doorgifte buiten de EU + ontoereikend beschermingsniveau

Controle bij export

Doorgifte naar landen die geen waarborg bieden voor een passend beschermingsniveau is slechts onder bepaalde voorwaarden mogelijk.

Eerst komen de passende waarborgen in aanmerking, waarvan de belangrijkste zijn:
  • Europese modelcontracten

    Doorgifte is ook toegestaan als gebruik wordt gemaakt van modelcontracten die zijn goedgekeurd door de Europese Commissie. Ze zijn ook bekend onder de Engelse term standard contractual clauses.
    Lees meer over de Europese modelcontracten.
  • Binding Corporate Rules (BCR)

    Dit betreft de gegevensuitwisseling binnen een concern met internationale vestigingen. Zie: uitgebreide informatie over Binding Corporate Rules
  • Certificeringsmechanisme

    Ook een zogenoemd AVG-certificaat kan in de nabije toekomst als doorgifte-instrument worden gebruikt, op basis van artikel 46 lid 2f.

Kan geen van bovengenoemde passende waarborgen worden toegepast, dan kan nog worden uitgeweken naar de zogenaamde afwijkingen voor specifieke situaties:
  • Uitdrukkelijke toestemming

    De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn uitdrukkelijke toestemming gegeven.
  • Uitvoering overeenkomst met betrokkene

    De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke.
  • Uitvoering overeenkomst in het belang van betrokkene

    Deze voorwaarde heeft betrekking op de uitvoering van een overeenkomst waarbij de betrokkene geen partij is, maar waarbij hij wel een belang heeft.
  • Zwaarwegend algemeen belang of voor de instelling, uitvoering of verdediging van enig recht

    Het belang van de betrokkene hoeft hiermee niet gediend te worden.
  • Vitaal belang van betrokkene of van andere personen

    Doorgifte is ook mogelijk als een vitaal belang van de betrokkene of andere personen in het geding is, bijvoorbeeld wanneer hij in levensgevaar verkeert.
  • Bij wet ingestelde registers

    Voorbeelden van dergelijke registers zijn het kadaster en het handelsregister, die ook kunnen worden geraadpleegd door personen buiten de Europese Unie.
Wordt aan geen van bovengenoemde voorwaarden voldaan, dan is doorgifte naar een land buiten de Europese Unie dat geen passend beschermingsniveau biedt in een zeer beperkt aantal gevallen (opgesomd in de wet) toegestaan. De toezichthouder dient in dat geval over de doorgifte te worden geïnformeerd.

Een nieuw begrip: Transfer Impact Assessment of TIA

Sinds de zaak Schrems II, waarin het EU-US Privacy Shield ongeldig werd verklaard, is een nieuw begrip opgedoken: Transfer Impact Assessment ofwel TIA. Een TIA is, kortweg, een risicoanalyse die moet worden uitgevoerd als een doorgifte van persoonsgegevens naar een derde land berust op een Europees modelcontract. Afhankelijk van de omstandigheden moet ook bij andere doorgifte-instrumenten een dergelijk assessment worden uitgevoerd. Voor meer informatie, zie de pagina Europees modelcontract

Gerelateerde onderwerpen