Dagelijks worden er wereldwijd grote hoeveelheden persoonsgegevens uitgewisseld tussen organisaties, zowel binnen als buiten de Europese Unie (EU). Deze grensoverschrijdende datastromen zijn een essentieel onderdeel van de digitale transformatie, maar brengen ook complexe juridische en maatschappelijke vraagstukken met zich mee. De bescherming van persoonsgegevens vormt hierbij een centrale uitdaging: de mate van bescherming verschilt immers aanzienlijk per land en regio.
Binnen de EU en de landen van de Europese Economische Ruimte (EER) – waaronder Noorwegen, Liechtenstein en IJsland – geldt een uniform en hoog niveau van gegevensbescherming via de Algemene verordening gegevensbescherming (AVG). Hier kunnen persoonsgegevens vrij worden uitgewisseld, zonder extra maatregelen. Voor doorgiften buiten dit gebied zijn organisaties echter gebonden aan strengere regels. Volgens de AVG is doorgifte alleen toegestaan als het ontvangende derde land een ‘passend beschermingsniveau’ heeft óf wanneer gebruik wordt gemaakt van juridische instrumenten zoals standaardcontracten, gedragscodes, binding corporate rules (BCR), of specifieke wettelijke uitzonderingen.
De Europese Commissie houdt een actuele lijst bij met landen (en soms sectoren) die middels een adequaatheidsbesluit zijn goedgekeurd. Voor organisaties blijft het cruciaal om deze lijst en bijbehorende voorwaarden op de voet te volgen. Sinds juli 2023 geldt een adequaatheidsbesluit voor het Data Privacy Framework tussen de EU en de Verenigde Staten, waardoor doorgifte aan deelnemende Amerikaanse organisaties weer formeel is toegestaan. Toch moet men er rekening mee houden dat dit juridisch kader onderwerp van debat blijft: recente uitspraken van het EU-Gerecht bevestigen het gebruik van het framework voorlopig, maar juridische onzekerheden en nieuwe beroepsprocedures blijven mogelijk.
Nieuw is ook dat de European Data Protection Board (EDPB) per december 2024/2025 richtlijnen heeft vastgesteld voor het delen van persoonsgegevens met overheidsinstanties buiten de EER, bijvoorbeeld bij gerechtelijke uitspraken of internationale onderzoeken. Deze richtlijnen, opgesteld na publieke consultatie, bieden organisaties meer houvast bij de complexe afwegingen die de internationale datadoorgifte inmiddels vraagt: de belangen van persoonsgegevensbescherming wegen zwaar, en transparantie naar betrokkenen en toezichthouders is essentieel.
Datahandel onder de loep bij Europees Hof van Justitie
BlogGeen wettelijke basis voor automatische gegevensdeling tussen overheidsinstanties, zegt minister
Nieuws-persberichtEDPB maakt het organisaties makkelijker aan de AVG te voldoen
Nieuws-persberichtGuidelines doorgifte derde landen definitief en nieuw trainingsmateriaal AI & AVG
BeleidsnotaEU en VS sluiten belangrijk data-akkoord: wat staat er in?
Achtergrond artikelenEuropese Commissie en Verenigde Staten intensiveren onderhandelingen over trans-Atlantische gegevensstromen
NieuwsSchrems: "Facebook omzeilt AVG met algemene voorwaarden
NieuwsDe ene na de andere verandering op het gebied van internationale doorgifte van gegevens - hoe nu verder?
Artikel
