Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag alleen als een land voldoende bescherming biedt. Voor doorgifte naar landen buiten de Europese Unie (EU) gelden aparte regels.
Wat is een derde land precies?
Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland. Deze 3 landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens.
Geeft u gegevens door vanuit Nederland naar Noorwegen, Liechtenstein en IJsland? Dan hoeft u alleen te voldoen aan de algemene eisen uit de AVG.
Doorgifte naar een derde land
In 4 gevallen is het mogelijk om persoonsgegevens door te geven naar een derde land. U mag dit op basis van:
een adequaatheidsbesluit;
passende waarborgen;
binding corporate rules (BCR);
specifieke uitzonderingen.
Doorgifte op basis van een adequaatheidsbesluit
Als een derde land in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een adequaatheidsbesluit nemen (artikel 45 van de AVG). De EC stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG.
Zo’n besluit kan over een heel land worden genomen, maar ook over een bepaalde sector binnen een land. Bijvoorbeeld in Canada, waar alleen commerciële bedrijven binnen het bereik van het adequaatheidsbesluit vallen. Als er een adequaatheidsbesluit is genomen, hoeft u voor doorgifte naar dat land of die sector geen aanvullende waarborg te treffen.
Doorgifte op basis van passende waarborgen
Modelcontract
Is er geen sprake van een adequaatheidsbeslissing? Dan moet er een andere passende waarborg zijn als u persoonsgegevens wilt doorgeven aan een derde land. Dat kan met een modelcontract (ook wel standard contractual clauses of SCC's genoemd) dat door de EC is vastgesteld (artikel 46 (2) onder c van de AVG).
Gedragscode en certificering
Andere manieren om een passend beschermingsniveau te waarborgen zijn een goedgekeurde gedragscode (artikel 46 (2) onder e van de AVG) of via een certificeringsmechanisme (artikel 46 (2) onder f van de AVG).
Let op: wilt u deze instrumenten gebruiken voor doorgifte? Dan stelt de AVG wel als voorwaarde dat u bindende en afdwingbare toezeggingen heeft van de partij in het derde land dat deze de juiste waarborgen toepast.
Doorgifte op basis van binding corporate rules (BCR)
Binding corporate rules (BCR) zijn ‘global privacy policies’ die gelden binnen organisaties voor doorgifte van persoonsgegevens naar derde landen wereldwijd. Alle werknemers en entiteiten binnen het concern (ook de Nederlandse en Europese vestigingen) moeten zich houden aan de privacy policy.
Doorgifte op basis van specifieke uitzonderingen
Is het niet mogelijk is om op basis van een van de eerder genoemde waarborgen persoonsgegevens door te geven aan derde landen? Dan is het mogelijk op grond van artikel 49 AVG een beroep te doen op een van deze uitzonderingen:
U heeft de uitdrukkelijke toestemming van de betrokkene.
U moet de betrokkene informeren over wat u van plan bent en over het beschermingsniveau in het betreffende derde land. Let op: het is niet voldoende als de betrokkene geen bezwaar heeft gemaakt, u heeft echt toestemming nodig.
De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en u of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen.Bijvoorbeeld het reserveren van een vliegticket of om een internationale betaling te doen via bank of creditcard.
De doorgifte is noodzakelijk voor de sluiting of de uitvoering van een overeenkomst in het belang van de betrokkene tussen u en een andere natuurlijke of rechtspersoon.Bijvoorbeeld: de herverzekering van een door de betrokkene in Nederland afgesloten verzekering bij een verzekeringsmaatschappij in een derde land. Let op: deze uitzondering geldt niet voor doorgifte met direct marketing als doel, omdat een dergelijke doorgifte niet gebeurt in het belang van de betrokkene.
De doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang.
De doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Bijvoorbeeld de doorgifte van persoonsgegevens aan een incassobureau in een derde land voorafgaand aan een mogelijke gerechtelijke procedure.
De doorgifte is van vitaal belang voor de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven. Bijvoorbeeld wanneer de betrokkene in het buitenland in het ziekenhuis terecht is gekomen. Het is dan noodzakelijk dat u de persoonsgegevens van de betrokkene zo snel mogelijk aan dit ziekenhuis verstrekt.
De doorgifte is verricht vanuit een bij wet ingesteld register dat bedoeld is om het publiek voor te lichten. Een voorbeeld is gegevens uit het Kadaster of Handelsregisters.
