Vergroot contrast

Doorgifte binnen en buiten de EU

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt. Voor doorgifte van gegevens naar een land binnen de Europese Unie (EU) gelden andere regels dan voor doorgifte naar een land buiten de EU.

Doorgifte binnen de EU

Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU lidstaten zich moeten houden aan de Algemene verordening gegevensbescherming (AVG). De EU is daarom één rechtsgebied bij de bescherming van persoonsgegevens.

Geeft een organisatie gegevens door van Nederland naar een ander EU-land? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG.

Doorgifte buiten de EU

Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU, zogeheten derde landen, gelden aparte regels.

Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens.

Geeft een organisatie gegevens door vanuit Nederland naar Noorwegen, Liechtenstein en IJsland? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG.

Hoofdregel doorgifte buiten de EU

De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau.

Als er geen sprake is van een derde land met een passend beschermingsniveau, is doorgifte slechts toegestaan op grond van een van de wettelijke bepalingen uit de AVG (hoofdstuk V).

Nieuws

Alle nieuwsberichten over het onderwerp 'Doorgifte binnen en buiten de EU'

Alle antwoorden op mijn vragenVragen over doorgifte naar derde landen

  • Wanneer mag ik persoonsgegeven doorgeven naar landen buiten de EU (derde landen)?

    Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag alleen als een land voldoende bescherming biedt. Voor doorgifte naar landen buiten de Europese Unie (EU) gelden aparte regels.

    Let op: kijk voor informatie over doorgifte aan de VS bij Wanneer mag ik persoonsgegevens doorgeven naar de VS?

    In deze gevallen is het mogelijk om persoonsgegevens door te geven aan landen buiten de EU:

    Doorgifte op basis van een adequaatheidsbesluit

    Als een land buiten de EU in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een ‘adequaatheidsbeslissing’ nemen (artikel 45 van de AVG). De EC stelt dan vast dat de gegevensbescheming in dat land van een vergelijkbaar niveau is als de AVG.

    Zo’n beslissing kan over een heel land worden genomen, maar ook over een bepaalde sector binnen een land. Bijvoorbeeld in Canada, waar alleen commerciële bedrijven binnen het bereik van de adequaatheidsbeslissing vallen.

    Als er een adequaatheidsbeslissing is genomen, hoeft er voor doorgifte naar dat land of die sector geen aanvullende waarborg te worden getroffen.

    Doorgifte op basis van passende waarborgen

    • Modelcontract
      Als er geen sprake is van een adequaatheidsbeslissing, dan moet er een andere passende waarborg zijn als een organisatie persoonsgegevens wil doorgeven aan een land buiten de EU. Dat kan met een modelcontractbepaling die door de Europese Commissie is vastgesteld (artikel 46 (2) onder c).
    • Gedragscode en certificering
      Twee nieuwe manieren om een passend beschermingsniveau te waarborgen zijn de goedgekeurde gedragscodes (artikel 46 (2) onder e van de AVG) of via een certificeringsmechanisme (artikel 46 (2) onder f van de AVG).
      De AVG stelt wel als voorwaarde dat wanneer een organisatie deze instrumenten wil gebruiken voor doorgifte, dit samen moeten gaan met bindende en afdwingbare toezeggingen van de partij in het derde land om de juiste waarborgen toe te passen.

    Doorgifte op basis van bindende bedrijfsvoorschriften (BCR)

    BCR zijn ‘global privacy policies’ die gelden binnen organisaties voor doorgifte van persoonsgegevens naar landen zonder adequaat beschermingsniveau (derde landen) wereldwijd. Alle werknemers en entiteiten binnen het concern (ook de Nederlandse en Europese vestigingen) moeten zich houden aan de privacy policy.

    Doorgifte op basis van specifieke uitzonderingen

    Is het niet mogelijk is om op basis van een van de eerder genoemde waarborgen persoonsgegevens door te geven aan derde landen? Dan is het mogelijk op grond van artikel 49 AVG een beroep te doen op een van deze uitzonderingen:

    • De verwerkingsverantwoordelijke heeft de uitdrukkelijke toestemming van de betrokkene.
      U moet de betrokkene informeren over wat u van plan bent en over het beschermingsniveau in het betreffende derde land. Let op: het is niet voldoende als de betrokkene geen bezwaar heeft gemaakt, u heeft echt toestemming nodig.
    • De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen.
      Bijvoorbeeld het reserveren van een vliegticket of om een internationale betaling te doen via bank of creditcard.
    • De doorgifte is noodzakelijk voor de sluiting of de uitvoering van een overeenkomst in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke of rechtspersoon.
      Bijvoorbeeld: De herverzekering van een door de betrokkene in Nederland afgesloten verzekering bij een verzekeringsmaatschappij in een derde land. Let op: deze uitzondering geldt niet voor doorgifte met direct marketing als doel, omdat een dergelijke doorgifte niet gebeurt in het belang van de betrokkene.
    • De doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang.
    • De doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
      Bijvoorbeeld de doorgifte van persoonsgegevens aan een incassobureau in een derde land voorafgaand aan een mogelijke gerechtelijke procedure.
    • De doorgifte is van vitaal belang voor de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven. Bijvoorbeeld wanneer de betrokkene in het buitenland in het ziekenhuis terecht is gekomen. Het is dan noodzakelijk dat u de persoonsgegevens van de betrokkene zo snel mogelijk aan dit ziekenhuis verstrekt.
    • De doorgifte is verricht vanuit een bij wet ingesteld register dat bedoeld is om het publiek voor te lichten. Een voorbeeld is gegevens uit het Kadaster of Handelsregisters.
  • Wanneer mag ik persoonsgegevens doorgeven naar de VS?

    In de Verenigde Staten (VS) bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. De VS hebben daarom geen passend beschermingsniveau. Dat betekent dat u niet zonder meer persoonsgegevens mag doorgeven aan de VS. 

    Privacy shield ongeldig

    Tot voor kort was doorgifte naar de VS mogelijk op grond van het EU-VS privacy shield. Het Europese Hof van Justitie heeft echter op 16 juli 2020 het EU-VS privacy shield nietig verklaard in de zaak Schrems II. 

    Volgens deze hoogste Europese rechter bieden de VS geen beschermingsniveau dat gelijkwaardig is aan het beschermingsniveau in de EU.

    Dit betekent dat u het privacyshield niet meer mag gebruiken om persoonsgegevens door te geven naar de VS. Let op: dit gaat direct in, dus per 16 juli 2020.

    BCR en modelcontracten

    Voor doorgifte naar derde landen kunt u normaliter gebruikmaken van binding corporate rules (BCR) en modelcontracten (ook wel standard contractual clauses of SCC genoemd), mits het betreffende derde land een gelijkwaardig beschermingsniveau kent.

    Omdat het Hof nu heeft bepaald dat de VS dit niveau niet hebben, moet u aanvullende waarborgen treffen als u BCR of een modelcontract gebruikt voor uw doorgifte naar de VS.

    Wat deze aanvullende waarborgen moeten inhouden, is nog niet vastgesteld. De European Data Protection Board (EDPB) komt binnenkort met informatie hierover. Deze informatie komt dan ook op de website van de Autoriteit Persoonsgegevens te staan.

    De EDPB heeft in de tussentijd alvast veelgestelde vragen gepubliceerd (in het Engels; binnenkort ook in het Nederlands).

    Uitzonderingen (artikel 49 AVG)

    Er is een aantal specifieke uitzonderingen op het verbod op doorgifte naar een derde land. Deze uitzonderingen staan in artikel 49 van de AVG.

    U kunt zich echter niet snel beroepen op zo’n uitzondering voor doorgifte naar de VS. U moet per geval een afweging maken. Ook mag het niet gaan om structurele doorgifte.

    Meer informatie

  • Hoe weet ik of een derde land een passend beschermingsniveau heeft?

    Kijk hiervoor of het betreffende land voorkomt in de lijst van derde landen die de Europese Commissie (EC) heeft goedgekeurd.

    Landenlijst EC

    De EC heeft besloten dat de volgende derde landen een passend beschermingsniveau bieden:

    Meer informatie

    Voor meer informatie over adequaatheidsbesluiten, zie Adequacy decisions op de website van de EC.

  • Wanneer mag ik toch persoonsgegevens doorgeven naar een derde land zonder passend beschermingsniveau?

    Valt uw doorgifte van gegevens niet onder een van de uitzonderingen genoemd in artikel 49 AVG? Dan mag u toch persoonsgegevens naar derde landen doorgeven als:

    • de doorgifte niet repetitief is;
    • de doorgifte een beperkt aantal betrokkenen betreft;
    • de doorgifte noodzakelijk is voor uw dwingende, gerechtvaardigde belangen, die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkenen;
    • u alle omstandigheden van de doorgifte heeft beoordeeld en op basis daarvan passende waarborgen heeft geboden voor de bescherming van persoonsgegevens.
  • Welke modelcontracten zijn er voor doorgifte naar een derde land?

    De Europese Commissie (EC) heeft 3 modelcontracten (ook wel standard contractual clauses of SCC's genoemd) goedgekeurd.

    Let op: u vindt de modelcontracten aan het einde van de betreffende beschikkingen of besluiten.

    • Een modelcontract van de EC voor doorgifte tussen 2 verantwoordelijken waarbij de een gevestigd is binnen de Europese Unie (EU) en de ander daarbuiten, zie: Beschikking van de Commissie van 15 juni 2001 (2001/497/EG).
    • Een door het bedrijfsleven opgesteld alternatief modelcontract voor de doorgifte tussen 2 verantwoordelijken waarbij de een gevestigd is binnen de EU en de ander daarbuiten, zie: Beschikking van de Commissie van 27 december 2004 (2004/915/EG).
    • Een modelcontract voor doorgifte van een verantwoordelijke gevestigd binnen de EU naar een verwerker (degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt) in een derde land, zie Besluit van de Commissie van 5 februari 2010 (2010/87/EU).
  • Hoe beoordeelt de Autoriteit Persoonsgegevens mijn verzoek om toestemming?

    Als u gebruikt maakt van een modelcontract maar daarin geen wijzigen of aanvullingen aanbrengt, hoeft u voor de doorgifte geen toestemming te vragen aan de Autoriteit Persoonsgegevens (AP).

    Maakt u géén gebruik van een ongewijzigd modelcontract, dan moet u wel om toestemming verzoeken bij de AP om persoonsgegevens door te mogen geven aan een derde land.

    Hoe de AP uw aanvraag beoordeelt, hangt af van de situatie. Er zijn twee situaties mogelijk:

    Modelcontract met aanvullingen

    U gebruikt het modelcontract maar met aanvullingen. De AP geeft alleen een goedkeurende verklaring af als de aanvullende bepalingen niet in tegenspraak zijn met de standaardbepalingen in het modelcontract en/of met de rechten van betrokkenen (degenen van wie u persoonsgegevens verwerkt).

    Zijn de aanvullingen bij uw aanvraag niet in overeenstemming met het modelcontract? Dan krijgt u de mogelijkheid om de bepalingen binnen een bepaalde tijd aan te passen.

    Modelcontract met wijzigingen of eigen contract

    U gebruikt het modelcontract maar met wijzigingen of u heeft zelf een contract opgesteld. Hierin zijn de specifieke omstandigheden van uw doorgifte geregeld.

    De AP moet in dit geval de bepalingen grondig beoordelen, omdat deze afwijken van het modelcontract. U krijgt bericht van de AP hoe lang dit gaat duren.

    Privacyverklaring AP

    Hoe de AP omgaat met uw persoonsgegevens als u toestemming vraagt voor internationale doorgifte, leest u in de Privacyverklaring voorafgaande raadpleging, vergunning, gedragscode of internationale doorgifte

  • Wanneer is doorgifte van persoonsgegevens naar derde landen verboden en wie houdt hier toezicht op?

    Heeft een derde land geen passend beschermingsniveau? En kan er geen beroep worden gedaan op een wettelijke uitzondering? Dan is doorgifte naar dat land onrechtmatig en dus niet toegestaan.

    Toezicht door Autoriteit Persoonsgegevens

    De Autoriteit Persoonsgegevens (AP) houdt toezicht op de doorgifte van persoonsgegevens naar derde landen door in Nederland gevestigde organisaties.

    De AP kan een boete geven aan organisaties die onrechtmatig gegevens aan derde landen doorgeven.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenVragen over de Brexit