Doorgifte binnen en buiten de EU
De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt. Voor doorgifte van gegevens naar een land binnen de Europese Unie (EU) gelden andere regels dan voor doorgifte naar een land buiten de EU.
Doorgifte binnen de EU
Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU lidstaten zich moeten houden aan de Algemene verordening gegevensbescherming (AVG). De EU is daarom één rechtsgebied bij de bescherming van persoonsgegevens.
Geeft u als organisatie persoonsgegevens door van Nederland naar een ander EU-land? Dan hoeft u alleen te voldoen aan de algemene eisen uit de AVG.
Doorgifte buiten de EU
Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU, zogeheten derde landen, gelden aparte regels. De hoofdregel is dat u persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau.
Heeft een derde land geen passend beschermingsniveau? Dan is doorgifte slechts toegestaan op grond van een van de wettelijke bepalingen uit de AVG (hoofdstuk V).
Zie verder:
- Wanneer mag ik persoonsgegeven doorgeven naar landen buiten de EU (derde landen)?
- Hoe weet ik of een derde land een passend beschermingsniveau heeft?
Zie ook:
- Dossier Brexit
Doorgifte naar VS - Schrems II
Let op: voor doorgifte van persoonsgegevens aan de Verenigde Staten (VS) mag u het EU-VS privacy shield niet meer gebruiken. Het Europese Hof van Justitie heeft dit namelijk nietig verklaard in de zaak Schrems II. Dit betekent dat u aanvullende waarborgen moet treffen als u BCR of een modelcontract gebruikt voor uw doorgifte naar de VS.
Zie verder: Wanneer mag ik persoonsgegevens doorgeven naar de VS?
Bekijk binnen het onderwerp Doorgifte binnen en buiten de EU
Nieuws
-
Nieuwsbericht / 19 juli 2022Verbeteringen nodig in wetsvoorstel beschikbaar stellen gezondheidsgegevens
-
Nieuwsbericht / 5 juli 2022Nieuwe EDPB-guidelines over AVG-certificaat als doorgifte-instrument
-
Nieuwsbericht / 7 april 2022EDPB: aankondiging afspraken EU en VS 'goede eerste stap'
Alle antwoorden op mijn vragenVragen over doorgifte naar derde landen
-
Wanneer mag ik persoonsgegevens doorgeven naar de VS?
In de Verenigde Staten (VS) bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. De VS hebben daarom geen passend beschermingsniveau. Dat betekent dat u niet zonder meer persoonsgegevens mag doorgeven aan de VS.
Privacy shield ongeldig
Tot voor kort was doorgifte naar de VS mogelijk op grond van het EU-VS privacy shield. Het Europese Hof van Justitie heeft echter op 16 juli 2020 het EU-VS privacy shield nietig verklaard in de zaak Schrems II.
Volgens deze hoogste Europese rechter bieden de VS geen beschermingsniveau dat gelijkwaardig is aan het niveau in de EU. Dit betekent dat u sinds 16 juli 2020 het privacy shield niet meer mag gebruiken om persoonsgegevens door te geven naar de VS.
BCR en modelcontracten
Voor doorgifte naar derde landen (landen buiten de EU) kunt u normaliter gebruikmaken van binding corporate rules (BCR) of een modelcontract (ook wel standard contractual clauses of SCC genoemd), mits het betreffende derde land een gelijkwaardig beschermingsniveau kent.
Omdat het Hof nu heeft bepaald dat de VS dit niveau niet hebben, moet u aanvullende waarborgen treffen als u BCR of een modelcontract gebruikt voor uw doorgifte naar de VS.
Aanvullende waarborgen
De European Data Protection Board (EDPB) heeft aanbevelingen gepubliceerd voor deze aanvullende waarborgen. De EDPB noemt verschillende waarborgen die u kunt overwegen, zoals goede encryptie en pseudonimisering.
U moet per geval bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.
Lees de aanbevelingen van de EDPB:
Uitzonderingen (artikel 49 AVG)
Er is een aantal specifieke uitzonderingen op het verbod op doorgifte naar een derde land. Deze uitzonderingen staan in artikel 49 van de AVG.
U kunt zich echter niet snel beroepen op zo’n uitzondering voor doorgifte naar de VS. U moet per geval een afweging maken. Ook mag het niet gaan om structurele doorgifte.
Zie ook
-
Wanneer mag ik toch persoonsgegevens doorgeven naar een derde land zonder passend beschermingsniveau?
Valt uw doorgifte van gegevens niet onder een van de uitzonderingen genoemd in artikel 49 AVG? Dan mag u toch persoonsgegevens naar derde landen doorgeven als:
- de doorgifte niet repetitief is;
- de doorgifte een beperkt aantal betrokkenen betreft;
- de doorgifte noodzakelijk is voor uw dwingende, gerechtvaardigde belangen, die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkenen;
- u alle omstandigheden van de doorgifte heeft beoordeeld en op basis daarvan passende waarborgen heeft geboden voor de bescherming van persoonsgegevens.
-
Welk modelcontract kan ik gebruiken voor doorgifte naar een derde land?
De Europese Commissie (EC) heeft een nieuw modelcontract goedgekeurd om veilig persoonsgegevens door te geven naar een derde land. Dit modelcontract geldt vanaf 27 juni 2021. U heeft 18 maanden de tijd om uw huidige modelcontract(en) aan te passen.
Nieuw modelcontract
Dit nieuwe modelcontract vervangt de 3 modelcontracten die de EC eerder heeft vastgesteld. U vindt het modelcontract aan het einde van het Uitvoeringsbesluit (EU) 2021/914 van de EC.
Let op: aanpassen binnen 18 maanden
Gebruikt u nu al een (of meerdere) modelcontract(en) als doorgifte-instrument? Dan krijgt u 18 maanden de tijd om uw huidige contract(en) in lijn te brengen met het nieuwe modelcontract.
Modules in nieuw modelcontract
Het nieuwe modelcontract is flexibeler dan de oude modelcontracten en bestrijkt meerdere situaties. Daarom zijn in het document verschillende modules opgenomen.
Het nieuwe modelcontract bestaat uit een algemeen gedeelte en de volgende 4 modules:
- doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
- doorgifte van verwerkingsverantwoordelijke naar verwerker;
- doorgifte van (sub)verwerker naar (sub)verwerker;
- doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke.
Wat is een modelcontract?
Wilt u als bedrijf persoonsgegevens doorgeven vanuit de EU naar een derde land, dan is een van de mogelijkheden hiervoor het gebruik van een contract. Door een modelcontract te gebruiken, hoeft u zo’n contract niet volledig zelf op te stellen.
Een andere naam voor een modelcontract is standard contractual clauses (SCC’s) of standaardcontractbepalingen.
Ongewijzigd modelcontract
Gebruikt u een ongewijzigd modelcontract, dus zonder aanvullingen of wijzigingen? Dan heeft u geen toestemming van de Autoriteit Persoonsgegevens (AP) nodig.
Gewijzigd modelcontract of eigen contract
Wilt u een modelcontract met aanvullingen of wijzigingen gebruiken? Of een eigen contract? Dan moet u eerst toestemming vragen aan de AP.
Zie verder: Hoe beoordeelt de Autoriteit Persoonsgegevens mijn verzoek om toestemming?
Gebruik modelcontract voor doorgifte naar VS
Let op: wilt u een modelcontract gebruiken om persoonsgegevens door te geven naar de Verenigde Staten? Dan moet u aanvullende maatregelen nemen.
Zie verder: Wanneer mag ik persoonsgegevens doorgeven naar de VS?
-
Hoe beoordeelt de Autoriteit Persoonsgegevens mijn verzoek om toestemming?
Als u gebruikt maakt van een modelcontract maar daarin geen wijzigingen of aanvullingen aanbrengt, hoeft u voor de doorgifte geen toestemming te vragen aan de Autoriteit Persoonsgegevens (AP).
Maakt u géén gebruik van een ongewijzigd modelcontract, dan moet u wel om toestemming verzoeken bij de AP om persoonsgegevens door te mogen geven aan een derde land.
Hoe de AP uw aanvraag beoordeelt, hangt af van de situatie. Er zijn twee situaties mogelijk:
Modelcontract met aanvullingen
U gebruikt het modelcontract maar met aanvullingen. De AP geeft alleen een goedkeurende verklaring af als de aanvullende bepalingen niet in tegenspraak zijn met de standaardbepalingen in het modelcontract en/of met de rechten van betrokkenen (degenen van wie u persoonsgegevens verwerkt).
Zijn de aanvullingen bij uw aanvraag niet in overeenstemming met het modelcontract? Dan krijgt u de mogelijkheid om de bepalingen binnen een bepaalde tijd aan te passen.
Modelcontract met wijzigingen of eigen contract
U gebruikt het modelcontract maar met wijzigingen of u heeft zelf een contract opgesteld. Hierin zijn de specifieke omstandigheden van uw doorgifte geregeld.
De AP moet in dit geval de bepalingen grondig beoordelen, omdat deze afwijken van het modelcontract. U krijgt bericht van de AP hoe lang dit gaat duren.
Privacyverklaring AP
Hoe de AP omgaat met uw persoonsgegevens als u toestemming vraagt voor internationale doorgifte, leest u in de Privacyverklaring voorafgaande raadpleging, vergunning, gedragscode of internationale doorgifte.
-
Wanneer is doorgifte van persoonsgegevens naar derde landen verboden en wie houdt hier toezicht op?
Heeft een derde land geen passend beschermingsniveau? En kan er geen beroep worden gedaan op een wettelijke uitzondering? Dan is doorgifte naar dat land onrechtmatig en dus niet toegestaan.
Toezicht door Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de doorgifte van persoonsgegevens naar derde landen door in Nederland gevestigde organisaties.
De AP kan een boete geven aan organisaties die onrechtmatig gegevens aan derde landen doorgeven.
Publicaties AP
- Wetgevingsadvies / 27 mei 2021DownloadenPDFAdvies wijziging Besluit BRP (doorgifte BES)
- Wetgevingsadvies / 3 maart 2021DownloadenPDFAdvies wijziging Wjsg i.v.m. Ecris