AVG (deel 8) Internationale doorgifte van persoonsgegevens

Bijna aan het einde van deze blogreeks besteden wij aandacht aan een belangrijk onderwerp, de internationale doorgifte van persoonsgegevens. Waar moet je op letten indien je persoonsgegevens buiten Nederland wilt verwerken? Zoals met veel onderwerpen binnen het gegevensbeschermingsrecht mag er veel, zolang het maar goed wordt geregeld. In deze blog behandelen wij de verschillende manieren van het doorgeven van persoonsgegevens naar het buitenland en welke waarborgen daarbij (kunnen) komen kijken.

In sommige gevallen moet een organisatie persoonsgegevens doorgeven vanuit Nederland naar een ander land. Dit mag alleen als het land waarnaartoe wordt doorgegeven voldoende bescherming biedt. Er wordt onderscheid gemaakt tussen doorgifte binnen de Europese Economische Ruimte (EER) en daarbuiten. De AVG bevat geen definitie van “doorgifte van persoonsgegevens aan derde landen of internationale organisaties”. De Europese toezichthouder EDPB heeft daarom “Guidelines” opgesteld waarin het houvast geeft voor het bepalen of er sprake is van een verwerkingsactiviteit die kwalificeert als ‘doorgifte’.

Doorgifte binnen de EER
Alle (organisaties in de) EER-landen moeten zich houden aan de AVG. De AVG is een Europese verordening, wat (kort samengevat) betekent dat de regels uit de AVG rechtstreeks van toepassing zijn in de lidstaten en niet hoeven te worden geïmplementeerd in nationale wetgeving. Bij doorgifte binnen de EER moet de AVG dus worden nageleefd. Hierdoor is het beschermingsniveau binnen de EER-landen gelijk en zijn extra maatregelen niet nodig. Waar een organisatie wel rekening mee moet houden, is dat ieder EER-land aanvullende, nationale wetgeving kan hebben op het gebied van gegevensbescherming. In Nederland is dit de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Het is daarom raadzaam om juridisch advies in te winnen over het recht in het specifieke land waar de persoonsgegevens aan worden doorgegeven.

Doorgifte buiten de EER
Voor doorgifte aan derde landen (landen buiten de EER) gelden aparte regels. Er zijn drie mogelijkheden om persoonsgegevens door te geven naar een derde land:

• Er is een adequaatheidsbesluit;

• Er zijn passende waarborgen, zoals een modelcontract, een gedragscode, certificering of ‘binding corporate rules’ (BCR);

• Er is sprake van een specifieke uitzondering.

Doorgifte op basis van een adequaatheidsbesluit
De Europese Commissie (EC) kan op grond van art. 45 AVG een adequaatheidsbesluit nemen als een derde land een passend gegevensbeschermingsniveau biedt in de nationale wetgeving. Het derde land biedt dan een vergelijkbaar beschermingsniveau als de AVG. Het besluit kan zien op een heel land of een bepaalde sector binnen een land. Voor doorgifte is het treffen van aanvullende waarborgen dan niet nodig.

Op het moment van schrijven van deze blog zijn er 15 adequaatheidsbesluiten genomen, bijvoorbeeld voor:

• Argentinië;

• Canada (alleen voor commerciële bedrijven);

• Nieuw-Zeeland;

• Verenigd Koninkrijk (de EC heeft na de Brexit twee adequaatheidsbesluiten genomen (voor de AVG en de Richtlijn gegevensbescherming bij rechtshandhaving), zodat er voor de gegevensdoorgifte aan het VK eigenlijk niets is veranderd. Ook het ontvangen van gegevens uit het VK is door de Brexit niet veranderd);

• Verenigde Staten (organisaties die meedoen aan het Data Privacy Framework, waarover later meer).

Doorgifte op basis van passende waarborgen
Als er geen adequaatheidsbesluit is, kan een organisatie persoonsgegevens doorgeven naar een derde land als er passende waarborgen zijn getroffen. De organisatie neemt dan extra maatregelen om de gegevens te beschermen. Het gaat om de volgende opties:

1. Doorgifte met gebruik van een modelcontract;

2. Zorg voor een gedragscode of certificering;

3. Stel binding corporate rules (BCR) op.

1.     Doorgifte met gebruik van een modelcontract

Een modelcontract ook wel ‘standard contractual clauses’ (SCC) is één van de passende maatregelen. Dit is een door de EC goedgekeurd standaardcontract. Het modelcontract bestaat uit een algemeen gedeelte en de vier modules:

• doorgifte tussen twee verwerkingsverantwoordelijken;

• doorgifte tussen verwerkingsverantwoordelijke en verwerker;

• doorgifte tussen twee (sub)verwerkers;

• doorgifte tussen (sub)verwerker en verwerkingsverantwoordelijke.

Als een organisatie een modelcontract wil gebruiken met aanvullingen of wijzigingen of een eigen contract, dan is toestemming van de AP vereist voor de doorgifte.

2.     Zorg voor een gedragscode of certificering
Een goedgekeurde gedragscode of een certificeringsmechanisme kan ook een passend beschermingsniveau bieden.

Een groep organisaties, zoals een branche of sector, kan een gedragscode opstellen voor de manier waarop zij omgaan met persoonsgegevens. De AP kan deze gedragscode (of wijziging of verlenging daarvan) goedkeuren, waarna andere organisaties binnen de groep zich bij deze code kunnen aansluiten. De organisatie geeft daarmee aan dat zij zich houdt aan de in de gedragscode opgenomen bepalingen en is een manier om aan te tonen dat zij de privacywetgeving naleeft. De gedragscode moet een concrete uitwerking van de AVG bieden en wordt opgenomen in het Register AVG-gedragscodes. Op de naleving van een gedragscode wordt toezicht gehouden door de AP (in Nederland) en in sommige gevallen een geaccrediteerd toezichthoudend orgaan. Op het moment van schrijven zijn er slechts drie gedragscodes door de AP goedgekeurd (waarvan er voor één nog geen toezichthoudend orgaan is geaccrediteerd). Als de gedragscode ziet op verwerkingen in verschillende EU-lidstaten, dan moet de EDPB advies geven. De EDPB heeft diverse beleidsdocumenten opgesteld voor gedragscodes en de toezichthoudende organen, zoals de Guidelines on codes of conduct as tools for transfers.

Een certificaat is een schriftelijke verklaring dat een product, proces of dienst voldoet aan alle (of bepaalde, specifieke eisen) uit de AVG. Met zo’n certificaat kan een organisatie aan de doelgroep laten zien dat zij persoonsgegevens zorgvuldig verwerkt en beschermt. Dit geldt alleen als het certificaat is uitgegeven door een bij de Raad van Accreditatie (RvA) geaccrediteerde organisatie. Op het moment van schrijven van dit blog zijn er in Nederland nog geen geaccrediteerde instellingen voor het afgeven van AVG-certificaten.

3.     Stel binding corporate rules op
Binding corporate rules (BCR) zijn interne bedrijfsvoorschriften voor gegevensverkeer tussen verschillende vestigingen (die deels zijn gevestigd buiten de EER) binnen de eigen groep. In de BCR legt de organisatie vast welke waarborgen en regels er zijn voor de bescherming van de persoonsgegevens naar derde landen. In Nederland moet de AP de BCR goedkeuren, waarbij er co-reviewers (toezichthouders van andere Europese landen) mee beoordelen. Daarna moet de EDPB goedkeuring geven. Er zijn op Europees niveau diverse leidraden (WP-documenten) opgesteld over BCR met daarin onderscheid tussen informatie voor verwerkingsverantwoordelijken en verwerkers, zoals WP74: Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers. Er zijn daarnaast minimumvereisten aan BCR vastgesteld. Worden de BCR gewijzigd? Dan moet de toezichthouder deze wijziging(en) goedkeuren.

Doorgifte op basis van specifieke uitzonderingen
Als doorgifte op basis van de andere opties niet mogelijk is, kan een organisatie in sommige gevallen een beroep doen op één van de specifieke uitzonderingen van art. 49 AVG. De EDPB heeft Richtsnoeren opgesteld waarin de toezichthouder toelicht welke zeldzame gevallen dat zijn.

Aanvullende waarborgen
De EDPB heeft verder Aanbevelingen gegeven voor aanvullende waarborgen die een organisatie kan overwegen bij internationale doorgifte. De organisatie moet per geval bekijken welke maatregel of combinatie daarvan noodzakelijk is om persoonsgegevens goed te beschermen.

Speciaal geval: de Verenigde Staten (VS)
Voor de VS is het van belang om te controleren of de organisatie waarnaartoe doorgegeven gaat worden, meedoet aan het Data Privacy Framework en zo ja, voor welke specifieke producten. Dit Framework, waar een adequaatheidsbesluit onderdeel van is, bevat afspraken tussen de EC en de VS over veilige doorgifte van persoonsgegevens vanuit de EER naar de VS. Het Framework is op 10 juli 2023 in werking getreden en wordt periodiek geëvalueerd, houd dat dus goed in de gaten. Zo is de voorganger van het Framework, het Privacy Shield, door het Hof van Justitie van de Europese Unie ongeldig verklaard in de zaak Schrems II.

Als de organisatie (en indien van toepassing het specifieke product) meedoet aan het Framework, is het gebruik van een ander doorgifte-instrument of het treffen van aanvullende juridische en technische maatregelen niet nodig. Doet een organisatie niet mee, dan is doorgifte alleen mogelijk als de organisatie een doorgifte-instrument gebruikt en aanvullende waarborgen neemt om de persoonsgegevens te beschermen.

Toezicht Autoriteit Persoonsgegevens (AP)
De AP is als toezichthouder bevoegd om een boete op te leggen aan een organisatie die onrechtmatig gegevens naar een derde land doorgeeft. Dit is het geval als dat land geen passend beschermingsniveau heeft en er geen wettelijke uitzondering van toepassing is. 

Bovenstaande is het topje van de ijsberg als het gaat om het internationaal doorgeven van persoonsgegevens. Zo heeft de EDPB voor diverse van deze mogelijkheden aanvullende beleidsdocumentatie opgesteld. Wil jouw organisatie persoonsgegevens gaan doorgeven naar een derde land en twijfel je welke situatie van toepassing is? Win dan juridisch advies in. Onze IE, IT & Privacyrecht specialisten helpen jou(w organisatie) graag!

Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen. (Lees onze disclaimer).