Zowel binnen als buiten de Europese Unie (EU) vinden dagelijks grote hoeveelheden grensoverschrijdende doorgiften van persoonsgegevens plaats. Vrijwel iedere organisatie heeft te maken met de doorgifte van persoonsgegevens naar andere landen. Echter, de bescherming van persoonsgegevens is niet overal hetzelfde geregeld en datadoorgifte buiten de EU is niet altijd toegestaan. Voor doorgifte van persoonsgegevens naar landen binnen de EU gelden andere regels dan voor doorgifte naar landen buiten de EU.(1)

Binnen de EU is het niveau van gegevensbescherming gelijk. De Algemene verordening gegevensbescherming (AVG) geldt voor alle EU-lidstaten waardoor doorgifte van persoonsgegevens tussen lidstaten onderling mogelijk is, zonder dat daar extra maatregelen voor nodig zijn. Daarnaast heeft de EU beoordeeld dat ook Liechtenstein, Noorwegen en IJsland voldoen aan een ‘adequaat beschermingsniveau’. Deze drie landen vormen samen met de EU-lidstaten de Europese Economische Ruimte (EER).

Voor doorgifte van persoonsgegevens vanuit EU-lidstaten naar landen buiten de EU, zogeheten derde landen, gelden andere regels. Onder de AVG is doorgifte alleen toegestaan aan landen die ‘een passend beschermingsniveau’ bieden of op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG.(2)

Er zijn vier gevallen is mogelijk om persoonsgegevens door te geven naar een derde land. Dit is toegestaan op basis van:

• een adequaatheidsbesluit;

• passende waarborgen;

• binding corporate rules (BCR);

• specifieke uitzonderingen.(3)

De Europese Commissie (EC) heeft een lijst samengesteld met derde landen die een adequaat beschermingsniveau hebben. De EC voert met regelmaat gesprekken met derde landen om deze te beoordelen waardoor de lijst steeds verder wordt uitgebreid.(4)

De Verenigde Staten (VS) komen niet op de lijst van de EC voor. Tot voor kort was doorgifte naar de VS mogelijk op grond van het EU-VS privacy shield. Op 16 juli 2020 heeft het Europese Hof van Justitie in het Schrems II-arrest het privacy shield echter ongeldig verklaard. Dit betekent dat sinds deze datum het privacy shield niet meer gebruikt mag worden om persoonsgegevens door te geven aan de VS.(5)

Footnotes

(1) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu
(2) https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679#d1e4216-1-1
(3) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu#wanneer-mag-ik-persoonsgegeven-doorgeven-naar-landen-buiten-de-eu-derde-landen-6551
(4) https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#dataprotectionincountriesoutsidetheeu
(5) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu#wanneer-mag-ik-persoonsgegevens-doorgeven-naar-de-vs-5539