Nieuwe EDPB-guidelines over AVG-certificaat als doorgifte-instrument

Thema's:
Praktisch AVG
Doorgifte binnen en buiten de EER

De European Data Protection Board (EDPB) heeft een eerste versie aangenomen van guidelines over een AVG-certificaat als doorgifte-instrument. In deze guidelines staan voorwaarden om op basis van een AVG-certificaat én een doorgiftecontract persoonsgegevens te delen met landen buiten Europa.

Met een AVG-certificaat kan een organisatie aantonen dat de interne processen in lijn zijn met de Algemene verordening gegevensbescherming (AVG). En dat de organisatie die processen ook correct toepast.

Om zo’n certificaat te verkrijgen moet een bedrijf zich laten controleren door een geaccrediteerde certificatie-instelling. Op dit moment zijn er in Nederland nog geen geaccrediteerde certificatie-instellingen, maar die komen er naar verwachting in de toekomst wel.

AVG-certificaat als doorgifte-instrument

Een AVG-certificaat kan de basis zijn om op een veilige manier persoonsgegevens te versturen vanuit de Europese Unie (EU) naar landen buiten de EU. Europese bedrijven laten met zo’n certificaat zien dat zij de AVG goed hebben geïmplementeerd binnen én buiten de EU.

Ook kunnen buitenlandse bedrijven die zich buiten de EU bevinden en die vanuit het buitenland producten en diensten aan mensen in de EU aanbieden, met zo’n certificaat laten zien dat zij in lijn met de AVG werken.

Dit doen zij door zich te laten certificeren én een aanvullend doorgiftecontract aan te gaan. Op die manier kunnen AVG-certificaten dus dienen als doorgifte-instrument.

Over AVG-certificering als doorgifte-instrument zijn nu (concept) Guidelines on certification as tools for transfers gepubliceerd.

Publieke consultatie

Deze guidelines zijn nog niet definitief. Iedereen die dat wil, kan tot en met 30 september 2022 reageren op de guidelines via de website van de EDPB. Na deze consultatie stelt de EDPB de definitieve guidelines vast.

Vrouw zittend achter computermonitoren