Heeft u te maken met een cyberincident? Neem 24/7 contact met ons op.

Privacy- en dataprotectie

Privacy bij doorgifte van persoonsgegevens naar de UK (na de Brexit) en de VS

Mareille Tol
Door:
insight featured image
Doorgifte van persoonsgegevens naar het buitenland gaat niet zonder meer. Bij iedere doorgifte moet een onderneming zekerstellen dat het goed zit met de bescherming van persoonsgegevens.
Onderwerpen

Door Brexit en een recente uitspraak van het Hof van Justitie van de EU over het privacyshield bij gegevensuitwisseling met de VS komt dit onderwerp opnieuw in het spotlicht. Wij zetten voor u op een rij waar u rekening mee moet houden als het gaat om privacy bij het doorgeven van persoonsgegevens naar het buitenland. 

Wanneer is doorgifte mogelijk? 

U mag vanuit Nederland persoonsgegevens naar andere landen dan EU-landen, Noorwegen, Liechtenstein en IJsland (hierna te noemen: “derde landen”) doorgeven als: 

  1. de Europese Commissie heeft besloten dat het derde land een adequaat niveau van gegevensbescherming kent; 
  2. uw onderneming passende maatregelen heeft getroffen om veilige gegevensuitwisseling (naar EU-maatstaven) waarborgen; of 
  3. er sprake is van een bepaalde situatie waardoor uw organisatie incidenteel persoonsgegevens mag doorgeven 

Dat lichten we graag nog verder toe.

1. Adequaatheidsbesluit 

In privacy-land is de Brexit momenteel vaak onderwerp van gesprek. Het Verenigd Koninkrijk maakt geen deel meer uit van de EU en daarom moet de Europese Commissie gaan besluiten of het Verenigd Koninkrijk een adequaat niveau van gegevensbescherming kent. Tot 1 mei 2021 of, bij verlenging van de overgangsperiode, tot 1 juli 2021 is gegevensdoorgifte naar het Verenigd Koninkrijk mogelijk als ware het Verenigd Koninkrijk nog een EU-lidstaat. Dit biedt de gelegenheid voor uw organisatie om voor te sorteren op de periode daarna. Als de Europese Commissie na de overgangsperiode nog geen besluit heeft genomen of heeft besloten dat het Verenigd Koninkrijk geen adequaat niveau van gegevensbescherming kent, moet uw organisatie maatregelen treffen bij het doorgeven van persoonsgegevens naar het Verenigd Koninkrijk (zie 2 en 3 hierna).  

De Verenigde Staten hadden voorheen het privacyshield verdrag met de EU. Dit is een overeenkomst over de bescherming van persoonsgegevens van burgers uit de EU die in de VS worden verwerkt. Op 16 juli 2020 heeft het Hof van Justitie van de EU dit verdrag ongeldig verklaard, omdat het naar EU-maatstaven onvoldoende bescherming biedt. Uw onderneming mag nu geen persoonsgegevens meer uitwisselen op basis van het privacy schild-verdrag. Het is aan de Amerikaanse regering en de Europese Commissie om te zorgen voor een vervanging van het privacy schild-verdrag. Tot die tijd moet uw organisatie maatregelen treffen bij het doorgeven van persoonsgegevens naar de VS (zie 2 en 3 hierna).   

2. Waarborging veilige gegevensuitwisseling 

Kunt u persoonsgegevens niet op basis van het bovengenoemde doorgeven? Dan is doorgifte toch mogelijk als veilige gegevensuitwisseling (naar EU-maatstaven) gewaarborgd is. U waarborgt dit o.a. door de zogeheten standaardcontractsbepalingen van de Europese Commissie op te nemen in uw contracten. Daarnaast moet uw onderneming meestal ook aanvullende maatregelen treffen. Die zijn veelal technisch van aard, bijvoorbeeld: anonimisering, pseudonimisering en encryptie van persoonsgegevens. U moet per geval bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens afdoende te beschermen.  

3. Incidentele doorgifte 

Kan uw organisatie persoonsgegevens niet op basis van 1 of 2 naar een derde land doorgeven? Dan is er in bepaalde situaties nog een incidentele doorgifte mogelijkheid. Het gaat dan bijvoorbeeld om de volgende situaties: 

  • U heeft uitdrukkelijke toestemming gekregen van de persoon waar het om gaat en deze persoon is gewezen op de specifieke risico’s in kwestie (let op: de persoon in kwestie kan de toestemming ook weer intrekken).
  • De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen uw onderneming en de betreffende persoon. 

Meer weten?

Heeft u nog vragen over deze privacy-update? Neem dan contact met ons op. Wij helpen u graag.