PrivacyBlox over de AVG [18/20]: mogen persoonsgegevens nog buiten de EU worden opgeslagen?

26 februari 2018

Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Deze wet is de strengste ter wereld waar het gaat om de bescherming van persoonsgegevens. Een belangrijke randvoorwaarde uit deze wet is dat persoonsgegevens alleen nog mogen worden gebruikt of opgeslagen in landen die net zo veilig zijn als de Europese Unie zelf voorschrijft. Dat maakt werken in veel landen erg lastig – met name in de Verenigde Staten.

De AVG geldt in de gehele Europese Unie, plus in Noorwegen, Liechtenstein en IJsland – samen de Europese Economische Ruimte of EER geheten. Werkt u met bedrijven of instellingen in die landen, dan is er dus niets aan de hand. Maar gaat u buiten de EER, dan moet u nagaan of deze landen veilig zijn voordat u überhaupt met deze bedrijven in zee gaat.

Op dit moment zijn als veilige landen aangemerkt: Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten en Zwitserland. Het is nog niet duidelijk of het Verenigd Koninkrijk na de Brexit nog binnen de EER gerekend wordt, of dat er een aparte erkenning moet plaatsvinden. Dat laatste kan wel even duren, dus een voorzichtig Europees bedrijf zou niet snel meer persoonsgegevens in Engeland laten verwerken.

Specifiek bij de Verenigde Staten geldt nog wel dat de betrokken organisatie aan het Privacy Shield moet voldoen. Dit is een regeling tussen de VS en de EU, waarmee deze organisatie verklaart de Europese regels na te zullen leven en de VS aangeeft niet zomaar naar Amerikaans recht toegang te verlangen tot hun gegevens. Deze regeling wordt door juristen als twijfelachtig gezien, omdat “nationale veiligheid” wél een grond is voor toegang en niet duidelijk is wanneer deze ingeroepen kan worden.

Vanwege zorgen over het Privacy Shield zien we steeds vaker dat bedrijven liever zakendoen met een Europese dochter van een Amerikaans bedrijf, zoals de dochters van Amazon of Microsoft in Ierland en België. Deze bedrijven vallen gewoon onder de AVG. Een punt van zorg hierbij is dan weer of de Amerikaanse autoriteiten de moedermaatschappijen kunnen verplichten de gegevens van deze dochterbedrijven op te gaan halen. Deze vraag ligt nu bij de US Supreme Court en een positief antwoord zou ook deze constructie de nek om draaien.

Werkt u in andere landen, bijvoorbeeld een uitbestede klantenservice in India, dan moet u zelf maatregelen nemen. De meest voor de hand liggende oplossing is gebruik te maken van de zogeheten EU Model Clauses, waarmee u een contract opstelt dat de strenge Europese regels oplegt aan deze wederpartij. Gaat het om een buitenlands onderdeel van uw concern, dan kunt u ook werken met bindende bedrijfsvoorschriften (binding corporate rules) die zijn goedgekeurd door de toezichthouder.

Natuurlijk moet u met zo’n buitenlandse partij nog steeds een verwerkersovereenkomst sluiten, zoals we twee weken geleden zagen. Dat hoeft niet als de buitenlandse partij geen verwerker is, maar in dat geval moet u wel nagaan of u de persoonsgegevens wel mag verstrekken aan deze partij. Dat een land veilig is, betekent nog niet dat iedere organisatie in dat land die gegevens zomaar mag ontvangen. Ook dan gelden nog gewoon alle regels uit de AVG, zodat ook bij die organisatie de persoonsgegevens zo veilig mogelijk behandeld worden

Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.

MEER
LEZEN?

AVG

PrivacyBlox over de AVG [20/20]: de AVG checklist – wat te doen voor 25 mei?

Op 25 mei wordt de Algemene Verordening Gegevensbescherming van kracht. Het is vooral een kwestie van documenteren en in kaart brengen. Met behulp van acht stappen kun je voldoen aan de AVG.
Lees meer
AVG

PrivacyBlox over de AVG [19/20]: mag je altijd worden vergeten onder de AVG?

De AVG introduceert een aantal nieuwe regels. Eén daarvan is het recht om vergeten te worden. Persoonsgegevens moeten worden verwijderd wanneer er geen legitieme reden is om het te bewaren.
Lees meer
Data op straat AVG

PrivacyBlox over de AVG [17/20]: er ligt privacygevoelige data op straat, wat nu?

Volgens de nieuwe verordening is het verplicht om elk datalek te documenteren; ook wanneer het om een kleine kwestie gaat. Verder moet er een plan worden gemaakt om datalekken in de toekomst te voorkomen.
Lees meer
Arnoud Engelfriet

Arnoud Engelfriet

Arnoud Engelfriet is kennispartner bij JuriBlox. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.