Het versturen van gegevens naar buiten de EU

Het zal je inmiddels niet meer ontgaan zijn, maar op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. Deze nieuwe privacywet geldt niet alleen voor Nederland maar voor de hele Europese Unie en bevat verschillende regels voor de doorgifte van persoonsgegevens naar landen binnen en buiten de EU. Als je als webwinkelier binnen de EU persoonsgegevens doorgeeft, hoef je alleen maar aan de algemene eisen van de verordening te voldoen. Maar hoe zit het eigenlijk met het versturen van persoonsgegevens naar landen buiten de EU?

Doorgifte van persoonsgegevens naar buiten de EU

Als je persoonsgegevens doorgeeft aan partijen buiten de EU moet je rekening houden met aparte regels. Dit geldt overigens niet als je de persoonsgegevens doorgeeft aan Noorwegen, Liechtenstein of IJsland (de zogeheten EEX-landen). Zij hebben namelijk de privacywetgeving van de EU overgenomen en bieden dus een adequaat niveau van gegevensbescherming.

Voor de overige landen bepaalt de Europese Commissie via adequaatheidsbesluiten of zij een toereikend niveau van gegevensbescherming kennen. Als dat het geval is, mogen de persoonsgegevens naar deze landen worden doorgegeven. Als dit echter niet het geval blijkt te zijn, dan is doorgifte in principe verboden, tenzij er passende maatregels worden genomen om de privacy rechten van de betrokkene te waarborgen.

Zorg voor maatregelen om de privacy te garanderen

Passende waarborgen zijn in dit geval bindende bedrijfsvoorschriften, standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Europese Commissie en standaardbepalingen of contractbepalingen die door de toezichthoudende autoriteit (zoals de Autoriteit Persoonsgegevens(AP)) zijn vastgesteld.

Bindende bedrijfsvoorschriften zijn hierbij interne regels binnen multinationals waarin passende regels voor de doorgifte van persoonsgegevens binnen een internationaal concern, met vestigingen binnen en buiten de EU worden vastgesteld en waarbij een organisatie zichzelf oplegt hieraan te zullen voldoen. Daarnaast moeten deze waarborgen betrekking hebben op bijvoorbeeld de naleving van de algemene beginselen op het gebied van de verwerking van persoonsgegevens, de beginselen van ‘Privacy by design’ en het rekening houden met standaardinstellingen.

Uitzonderingen

Op het moment dat er geen adequaatheidsbesluit is genomen door de Europese Commissie en er ook geen passende waarborgen zijn vastgesteld of geïmplementeerd, noemt de AVG een paar gevallen waarbij er alsnog persoonsgegevens mogen worden doorgegeven naar landen buiten de EU:

• De betrokkene geeft uitdrukkelijk toestemming voor de doorgifte naar deze landen.
• De doorgifte is incidenteel en noodzakelijk in het kader van een overeenkomst.
• Er zijn gewichtige redenen van algemeen belang. Denk daarbij aan het delen van persoonsgegevens tussen belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid).
• Daarnaast kun je altijd toestemming vragen aan de AP om gegevens te mogen doorgeven aan derde landen.

Doorgifte van persoonsgegevens naar de Verenigde Staten

De VS kent geen wet voor de bescherming van persoonsgegevens. Daardoor heeft het land dus geen passend niveau van gegevensbescherming. Dit betekent dat je als webwinkelier niet zomaar persoonsgegevens aan derde partijen (zoals verwerkers) in de VS mag doorgeven. Als je de gegevens echter wilt doorgeven aan een onderdeel van je bedrijf dat zich in de VS bevindt, dan mag het wel als je beschikt over bindende bedrijfsvoorschriften.

Als dat niet het geval is, zou je de gegevens door kunnen sturen op grond van het EU-US Privacy Shield-programma. Een verwerker of andere organisatie in de VS kan zich dan bij de Kamer van Koophandel van de VS laten certificeren, om aan te tonen dat hij een adequaat niveau van gegevensbescherming hanteert. Gecertificeerde organisaties mogen vervolgens vanuit Europa persoonsgegevens ontvangen.