Gegevensuitwisseling met derde landen

De AVG is een Europese verordening. Een kenmerk van data en een gedigitaliseerde samenleving is echter dat gegevensstromen niet zomaar ophouden bij de grenzen van de Europese Unie. Decentrale overheidsorganisaties moeten daarom ook rekening houden met de AVG wanneer zij persoonsgegevens laten verwerken door organisaties buiten de EU. Bijvoorbeeld wanneer deze opgeslagen worden op een server in de Verenigde Staten.

territoriale reikwijdte avg

In artikel 3 AVG staat in welke gevallen de regels van de AVG gevolgd moeten worden. Dat moet in drie gevallen:

Locatie verwerkingsverantwoordelijke/verwerker
Wanneer de persoonsgegevens verwerkt worden door een verwerkingsverantwoordelijke of verwerker die een vestiging in de EU heeft. Ongeacht of zij die verwerking binnen of buiten Europa laten uitvoeren moeten deze verwerkingen aan de regels van de AVG voldoen.
Locatie betrokkene

Bepaalde verwerkingen van de persoonsgegevens van betrokkenen die zich in de EU bevinden. Het maakt daarbij dus niet uit of de verwerkingsverantwoordelijken zelf gevestigd zijn in de EU of niet.
Het moet hierbij gaan om persoonsgegevens die;
a) worden verwerkt in het kader van het aanbieden van goederen of diensten aan de betrokkenen in de Unie, of
b) worden verwerkt in verband met het monitoren van het gedrag van betrokkenen in de Unie.

Gebieden gebonden aan EU-recht

De AVG is ook van toepassing op verwerkingsverantwoordelijken in landen die geen EU-lidstaat zijn, maar wel onder hetzelfde recht als een EU-lidstaat vallen. Hierbij kan bijvoorbeeld gedacht worden aan een diplomatieke vertegenwoordiging of consulaire post.

Ook persoonsgegevens die buiten de EU (derde land) worden opgeslagen of worden verwerkt, vallen daarom onder de regels van de AVG. Het doorgeven van persoonsgegevens aan een derde land door decentrale overheden mag alleen onder bepaalde voorwaarden. Bijvoorbeeld wanneer de Europese Commissie met het derde land een adequaatheidsbesluit heeft genomen. Daar leest u meer over op deze pagina.

PASSENDE WAARBORGEN

Wanneer voor een derde land geen adequaatheidsbeslissing is genomen kan gekeken worden of er passende waarborgen kunnen worden getroffen, om in het derde land een voldoende beschermingsniveau van persoonsgegevens te verzekeren. Deze passende waarborgen kunnen bestaan uit:

  • een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of –organen, zoals een overeenkomst of verdrag (art. 46 lid 2 sub a AVG);
  • bindende bedrijfsvoorschriften die afdwingbare rechten toekennen aan betrokkenen waarvan persoonsgegevens worden verwerkt en gelden voor leden van een concern of groep ondernemingen die een gezamenlijke economische activiteit verrichten. Deze bedrijfsvoorschriften moeten wel zijn goedgekeurd door een bevoegde toezichthouder in de EU, zoals bijvoorbeeld de Autoriteit Persoonsgegevens (art. 47 AVG);
  • standaardcontractbepalingen inzake gegevensbescherming die zijn vastgesteld door de Europese Commissie of Autoriteit Persoonsgegevens. De Commissie heeft reeds drie standaardcontractbepalingen vastgesteld (art. 46 lid 2 sub c en d AVG);
  • goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen gecombineerd met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen (art.46 lid 2 sub e en f AVG);

uitzonderingen

Als het ook niet mogelijk is op basis van de passende waarborgen de persoonsgegevens door te sturen, kan worden gekeken of er sprake is van een specifieke situatie zoals genoemd in artikel 49 AVG. De persoonsgegevens kunnen bijvoorbeeld worden doorgestuurd als de betrokkene uitdrukkelijk met de doorgifte heeft ingestemd of wanneer doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang.

MEER WETEN OVER gegevensuitwisseling buiten de eu?

Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.

Stel direct uw vraag


X