Doorgifte buiten EU (inclusief EER)

Binnen de EU en de EER mag je persoonsgegevens doorgeven zonder dat je daar verder onderzoek naar hoeft te doen. Dit ligt anders als het bedrijf waar jij zaken mee wil doen buiten de EER ligt.

Welke landen zitten er in de EU (inclusief EER)?

De EER (Europese Economische Ruimte) bestaat uit de landen van de Europese Unie en enkele aangesloten landen. Tot de EER behoren de volgende landen:

• België;
• Bulgarije;
• Cyprus;
• Denemarken;
• Duitsland;
• Estland;
• Finland;
• Frankrijk;
• Griekenland;
• Hongarije;
• Ierland;
• IJsland;
• Italië;
• Kroatië;
• Letland;
• Liechtenstein;
• Litouwen;
• Luxemburg;
• Malta;
• Nederland;
• Noorwegen;
• Oostenrijk;
• Polen;
• Portugal;
• Roemenië;
• Slovenië;
• Slowakije;
• Spanje;
• Tsjechië;
• Verenigd Koninkrijk (Engeland, Schotland, Wales en Noord-Ierland);
• Zweden.

Wat als mijn land van doorgifte hier buiten valt?

In principe mag je alleen persoonsgegevens doorgeven aan een land binnen de EU (inclusief EER). Dit omdat de andere landen wellicht niet een te vergelijken niveau van bescherming bieden voor de doorgegeven persoonsgegevens.

De volgende landen hebben een passend beschermingsniveau volgens de EU en hieraan mogen dan ook gegeven worden doorgegeven:

• Andorra;
• Argentinië;
• Canada;
• Faeröer Eilanden;
• Guernsey;
• Isle of Man;
• Israël;
• Japan;
• Jersey;
• Nieuw-Zeeland;
• Uruguay;
• Zwitserland.

Wat als mijn land van doorgifte niet op het lijstje staat?

Er zijn een aantal mogelijkheden als het bedrijf waar jij zaken mee wil doen niet op dit lijstje staat. Je kunt gebruikmaken van: bedrijven die zijn aangesloten bij de Privacy Shield, de standaard contractbepaling van de Europese Commissie opnemen in de overeenkomst die je met jouw relatie sluit, een goedgekeurde gedragscode laten implementeren door jouw relatie, kiezen voor een gecertificeerd bedrijf of kiezen voor een bedrijf met bindende bedrijfsvoorschriften (BCR).

Privacy Shield

Het Privacy Shield is een platform dat een adequaatheidsbesluit heeft gekregen. Het is een soort overkoepeld orgaan waarbij bedrijven in de V.S. en Zwitserland zich aan kunnen sluiten. Als bedrijven zich hierbij aan willen sluiten worden zijn gecheckt op hun privacybescherming. Als dit voldoende is, mogen zij zich aansluiten. Zij zijn dan als ‘veilige bedrijven’ gemarkeerd.

Standaard contractbepaling

De Europese Commissie heeft een aantal standaard contractbepalingen geformuleerd. Deze mag je gebruiken in je contract met een bedrijf buiten de EER. Zodra dit bedrijf het contract met deze bepaling heeft ondertekent, mag je persoonsgegevens doorgeven aan dit bedrijf. De contractbepalingen vind je in de bijlagen van de officiële documenten. De Europese Commissie heeft verschillende contractbepalingen gemaakt voor verschillende situaties:

• Doorgifte van verwerkingsverantwoordelijke naar verwerker: besluit van de Commissie van 5 februari 2010 (2010/87/EU).
• Doorgifte van verwerkingsverantwoordelijke binnen EU naar verwerkingsverantwoordelijke buiten EU (basisversie): beschikking van de Commissie van 15 juni 2001 (2001/497/EG).
• Doorgifte ven verwerkingsverantwoordelijke binnen EU naar verwerkingsverantwoordelijke buiten EU (bedrijfsversie: vanwege ontwikkelingen en ervaring heeft de Europese Commissie een alternatief voor bedrijven opgesteld. Bedrijven mogen uiteraard ook gebruikmaken van de basisversie): beschikking van de Commissie van 27 december 2004 (2004/915/EG)

Goedgekeurde gedragscode

Bedrijven binnen de EU kunnen onderling gedragscodes over het doorgeven van persoonsgegevens afsluiten. Deze gedragscodes hoeven niet eerst goedgekeurd te worden door de Autoriteit Persoonsgegevens. Voor doorgifte naar derde landen buiten de EER, mag alleen gebruikgemaakt worden van goedgekeurde gedragscodes. Deze gedragscodes worden goedgekeurd door de Autoriteit persoonsgegevens. Hier heeft de Autoriteit persoonsgegevens een procedure voor op gesteld. Hierover kun je contact opnemen met de Autoriteit Persoonsgegevens.

Certificering

Het is mogelijk een AVG-certificaat aan te vragen als jouw product, proces of dienst aan de eisen uit de AVG voldoet. Je kan dit certificaat aanvragen bij een certificatie-instelling die daarvoor geaccrediteerd is door de Raad voor Accreditatie (RvA). Deze instelling beoordeelt of je product, proces of dienst in aanmerking komt voor AVG-certificaat. Als een bedrijf dat buiten de EER is gevestigd een certificaat heeft, mag je hier persoonsgegevens aan doorgeven.

Bindende bedrijfsvoorschriften (BCR)

Wanneer de onderneming vestigingen heeft in het buitenland, kunnen deze organisaties bindende bedrijfsvoorschriften opstellen. Dit zijn interne gedragscodes over hoe er met gegevens om wordt gegaan binnen de organisatie. In deze bedrijfsvoorschriften legt de organisatie de regels vast die zij hanteren wanneer gegevens worden doorgegeven naar landen zonder adequaatheidsbesluit om zo deze gegevens te beschermen. Deze bedrijfsvoorschriften moeten in overeenstemming zijn met de AVG. Deze regels moeten eerst worden goedgekeurd door de Europese privacytoezichthouders en daarna de European Data Protection Board (EDPB).

Specifieke uitzonderingen

Het kan dat je beroep kunt doen op specifieke uitzonderingen op bovengenoemde. Dit kan in de volgende gevallen:

• als de betrokkene uitdrukkelijke toestemming heeft gegeven;
• als het noodzakelijk is voor de uitvoering van de overeenkomst (dit houdt in dat het niet op een andere manier kan, zoals bij het kopen van vliegtickets);
• als het noodzakelijk is voor de sluiting of uitvoering van een overeenkomst in het belang van de betrokkenen (bijvoorbeeld: herverzekering of gezondheidszorg);
• als er gewichtige redenen van algemeen belang zijn;
• als het noodzakelijk is voor de rechtsvordering;
• als het noodzakelijk is voor het vitaal belang van de betrokkene;
• als het verplicht is vanwege een wettelijke verplichting.

Vragen? Neem dan contact met de Helpdesk!