Zowel binnen als buiten de Europese Unie (EU) vinden dagelijks grote hoeveelheden grensoverschrijdende doorgiften van persoonsgegevens plaats. Vrijwel iedere organisatie heeft te maken met de doorgifte van persoonsgegevens naar andere landen. Echter, de bescherming van persoonsgegevens is niet overal hetzelfde geregeld en datadoorgifte buiten de EU is niet altijd toegestaan. Voor doorgifte van persoonsgegevens naar landen binnen de EU gelden andere regels dan voor doorgifte naar landen buiten de EU.(1)
Binnen de EU is het niveau van gegevensbescherming gelijk. De Algemene verordening gegevensbescherming (AVG) geldt voor alle EU-lidstaten waardoor doorgifte van persoonsgegevens tussen lidstaten onderling mogelijk is, zonder dat daar extra maatregelen voor nodig zijn. Daarnaast heeft de EU beoordeeld dat ook Liechtenstein, Noorwegen en IJsland voldoen aan een ‘adequaat beschermingsniveau’. Deze drie landen vormen samen met de EU-lidstaten de Europese Economische Ruimte (EER).
Voor doorgifte van persoonsgegevens vanuit EU-lidstaten naar landen buiten de EU, zogeheten derde landen, gelden andere regels. Onder de AVG is doorgifte alleen toegestaan aan landen die ‘een passend beschermingsniveau’ bieden of op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG.(2)
Er zijn vier gevallen is mogelijk om persoonsgegevens door te geven naar een derde land. Dit is toegestaan op basis van:
een adequaatheidsbesluit;
passende waarborgen;
binding corporate rules (BCR);
specifieke uitzonderingen.(3)
De Europese Commissie (EC) heeft een lijst samengesteld met derde landen die een adequaat beschermingsniveau hebben. De EC voert met regelmaat gesprekken met derde landen om deze te beoordelen waardoor de lijst steeds verder wordt uitgebreid.(4)
De Verenigde Staten (VS) komen niet op de lijst van de EC voor. Tot voor kort was doorgifte naar de VS mogelijk op grond van het EU-VS privacy shield. Op 16 juli 2020 heeft het Europese Hof van Justitie in het Schrems II-arrest het privacy shield echter ongeldig verklaard. Dit betekent dat sinds deze datum het privacy shield niet meer gebruikt mag worden om persoonsgegevens door te geven aan de VS.(5)
Voetnoten
(1) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu
(2) https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679#d1e4216-1-1
(3) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu#wanneer-mag-ik-persoonsgegeven-doorgeven-naar-landen-buiten-de-eu-derde-landen-6551
(4) https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#dataprotectionincountriesoutsidetheeu
(5) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu#wanneer-mag-ik-persoonsgegevens-doorgeven-naar-de-vs-5539
Max Schrems: AVG dient strenger gehandhaafd te worden, boetes zijn te laag
Nieuws-persberichtPrivacyboete van €290 miljoen voor data-doorgifte naar de VS
ArtikelenUber boete: juridisch geneuzel of gebrekkige bescherming?
Nieuws-persberichtAP legt Uber boete op van 290 miljoen euro om doorgifte data chauffeurs naar VS
Nieuws-persberichtEU en VS sluiten belangrijk data-akkoord: wat staat er in?
Achtergrond artikelenEuropese Commissie en Verenigde Staten intensiveren onderhandelingen over trans-Atlantische gegevensstromen
NieuwsSchrems: "Facebook omzeilt AVG met algemene voorwaarden
NieuwsDe ene na de andere verandering op het gebied van internationale doorgifte van gegevens - hoe nu verder?
Artikel