Adequaatheidsbesluiten

Voor een aantal derde landen, of sectoren binnen die landen, heeft de Europese Commissie een adequaatheidsbesluit genomen. Daarmee geeft de Commissie aan dat dit land of de sector een passend beschermingsniveau van de verwerking van persoonsgegevens waarborgt (art. 45 AVG). Met deze landen kunnen persoonsgegevens gewoon worden uitgewisseld. Tot dusver heeft de Commissie voor dertien landen een adequaatheidsbesluit genomen, waaronder voor Canada, Japan en Zwitserland.

Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar rechtsstatelijkheid, de effectiviteit van onafhankelijke toezichthoudende autoriteiten die toezien op de naleving van gegevensbeschermingsregels en de internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.

Verenigde Staten: Privacy Shield

Voor gegevensuitwisseling met de Verenigde Staten heeft de Europese Commissie in 2016 een besluit genomen. Dit besluit gold niet voor het gehele land maar enkel voor organisaties die zich bij het zogeheten Privacy Shield hebben aangesloten. In deze regeling staan verschillende privacy principes – vergelijkbaar met de verwerkingsbeginselen uit de AVG – waar de organisaties zichzelf aan committeren. Verder bevat de regeling ook andere afspraken tussen de EU en de VS. Bijvoorbeeld over de toegang van Amerikaanse overheidsorganisaties tot de persoonsgegevens in verband met veiligheidsredenen, de controle op het zelf-certificeringsmechanisme en het garanderen van de rechten van betrokkenen.

Het adequaatheidsbesluit is in juli 2020 echter ongeldig verklaard door het Europese Hof van Justitie (uitspraak). Dit betekent dat doorgifte van gegevens op basis van het Privacy Shield sinds de uitspraak van het Hof niet meer is toegestaan. Het Hof stelt dat het besluit onvoldoende bescherming biedt voor de gegevens van EU-burgers die op grond van het besluit naar de Verenigde Staten worden overgedragen. Dat komt door Amerikaanse wetgeving: de Amerikaanse inlichten- en veiligheidsdiensten hebben namelijk het recht om gegevens van EU-burgers in te zien zonder dit te beperken tot strikt noodzakelijke gegevens.

De uitspraak van het Europese Hof betekent niet dat doorgifte van gegevens naar de Verenigde Staten is uitgesloten. Decentrale overheden kunnen nog steeds gegevens overgedragen in specifieke situaties zoals genoemd in artikel 49 AVG. Ook is het mogelijk om gegevens door te geven op grond van een modelcontract of bindende bedrijfsvoorschriften (BCR) mits er sprake is van een beschermingsniveau dat gelijk is aan de bescherming in de EU. Meer informatie hier over staat ook op de website van de Autoriteit Persoonsgegevens.