Gegevensuitwisseling met derde landen

De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening. Een kenmerk van data en een gedigitaliseerde samenleving is echter dat gegevensstromen niet zomaar ophouden bij de grenzen van de Europese Unie (EU). Decentrale overheidsorganisaties moeten daarom ook rekening houden met de AVG wanneer zij persoonsgegevens laten verwerken door organisaties buiten de EU. Bijvoorbeeld wanneer deze worden opgeslagen op een server in de Verenigde Staten.

Toepassingsgebied AVG

Aangezien de AVG een Europese verordening is, is deze met name van toepassing op gegevensverwerkingen binnen de EU. Er zijn ook situaties waarin de regels van de AVG nageleefd moeten worden ondanks dat de verwerking buiten de EU plaatsvindt. Artikel 3 van de AVG bepaalt wanneer dit het geval is. De regels van de AVG zijn van toepassing in drie situaties:

  1. Verwerkingsverantwoordelijke of verwerker is in de EU gevestigd
    De AVG is van toepassing wanneer de verwerkingsverantwoordelijke of de verwerker van de gegevens in de EU is gevestigd. Dit geldt ook wanneer de daadwerkelijke verwerking van de gegevens buiten de EU wordt uitgevoerd.
  1. Betrokkene bevindt zich in de EU
    Soms worden gegevens verwerkt van betrokkenen die zich in de EU bevinden. Een aantal van deze verwerkingen moeten volgens de regels van de AVG uitgevoerd worden, ook wanneer de verwerkingsverantwoordelijken buiten de EU zijn gevestigd. De AVG is in deze gevallen van toepassing op persoonsgegevens die:

    – worden verwerkt in het kader van het aanbieden van goederen of diensten aan de betrokkenen in de EU, of

    – worden verwerkt in verband met het monitoren van het gedrag van betrokkenen in de EU

  2. Verwerkingsverantwoordelijke is in gebied gebonden aan EU-recht gevestigd
    De AVG is ook van toepassing op verwerkingsverantwoordelijken in landen die geen EU-lidstaat zijn maar wel aan hetzelfde recht gebonden zijn als EU-lidstaten. Hierbij kan bijvoorbeeld gedacht worden aan een diplomatieke vertegenwoordiging of consulaire post.

Meer informatie over het toepassingsgebied vindt u in de Richtsnoeren over het territoriale toepassingsgebied van de AVG die door het European Data Protection Board (EDPB) zijn gepubliceerd.

Derde landen

Ook voor persoonsgegevens die in landen buiten de EU (derde landen) worden opgeslagen of verwerkt, en dus buiten artikel 3 AVG vallen, worden regels gesteld in de AVG. Het doorgeven van persoonsgegevens aan derde landen door decentrale overheden mag alleen onder bepaalde voorwaarden. In derde landen wordt namelijk niet altijd voldoende bescherming geboden aan de persoonsgegevens. Doorgifte is daarom alleen mogelijk wanneer het derde land een passend beschermingsniveau biedt. Hiervan is bijvoorbeeld sprake indien de Europese Commissie een adequaatheidsbesluit heeft genomen met het derde land.

Passende waarborgen

Wanneer voor een derde land geen adequaatheidsbesluit is genomen, is doorgifte mogelijk indien er passende waarborgen getroffen worden. Deze passende waarborgen moeten een adequaat beschermingsniveau verzekeren bij de doorgifte van persoonsgegevens. In artikel 46 AVG worden de volgende passende waarborgen genoemd:

  • Een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen, zoals een overeenkomst of verdrag (artikel 46 lid 2 sub a AVG);
  • Standaardcontractbepalingen, ook wel modelcontracten genoemd (artikel 46 lid 2 sub c en d AVG);
  • Goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen gecombineerd met bindende en afdwingbare toezeggingen in het derde land om passende waarborgen toe te passen (artikel 46 lid 2 sub e en f AVG);
  • Bindende bedrijfsvoorschriften waarin organisaties waarborgen vastleggen voor bescherming van persoonsgegevens. Deze bedrijfsvoorschriften vereisen vooraf goedkeuring van een bevoegde toezichthouder in de EU, bijvoorbeeld de Autoriteit Persoonsgegevens (artikel 47 AVG).

Standaardcontractbepalingen

Standaardcontractbepalingen worden vastgesteld door de Europese Commissie of de Autoriteit Persoonsgegevens en bieden bescherming aan persoonsgegevens bij doorgifte. Momenteel zijn er drie standaardcontractbepalingen vastgesteld door de Commissie. Deze worden echter herzien. De Commissie heeft eind 2020 een voorstel gedaan met vier nieuwe modelcontracten.

De standaardcontractbepalingen moeten een passend beschermingsniveau bieden. In de Schrems II-uitspraak heeft het Europees Hof van Justitie bepaald wanneer dit het geval is. Volgens het Hof moet er bij doorgifte van gegevens op basis van standaardcontractbepalingen sprake zijn van een beschermingsniveau dat in grote lijnen overeenkomt met het beschermingsniveau dat door EU-recht wordt geboden. De exporteur van gegevens moet dus per geval nagaan of het derde land voldoende passende bescherming biedt. Is dit niet het geval, dan kan de exporteur aanvullende maatregelen toevoegen aan de standaardcontractbepalingen. Ook kan de exporteur de overeenkomst opschorten of beëindigen bij ontoereikende bescherming.

Uitzonderingen

Wanneer er geen adequaatheidsbesluit is en passende waarborgen geen uitkomst bieden, kan doorgifte naar derde landen soms op grond van artikel 49 AVG plaatsvinden. Dit artikel bevat een lijst van uitzonderingen die doorgifte van gegevens naar derde landen in specifieke situaties mogelijk maken. Doorgifte is bijvoorbeeld mogelijk als de betrokkene uitdrukkelijk met de doorgifte heeft ingestemd of wanneer doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang.

Aanbevelingen voor doorgifte

Om hulp te bieden bij veilige doorgifte van persoonsgegevens aan derde landen heeft het EDPB aanbevelingen opgesteld. Hierin worden verschillende maatregelen genoemd die een aanvulling zijn op de passende waarborgen uit de AVG. Sinds de Schrems II-uitspraak moet namelijk per geval bekeken worden of een adequaat beschermingsniveau wordt geboden. Ontoereikende bescherming kan soms met behulp van aanvullende maatregelen opgelost worden. De aanbevelingen bevatten ook een stappenplan om na te gaan of er sprake is van adequate bescherming. Bovendien worden hierin enkele informatiebronnen genoemd die behulpzaam kunnen zijn bij het beoordelen van het beschermingsniveau in een derde land.

Meer weten over gegevensuitwisseling buiten de EU?

Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.

Stel direct uw vraag