PrivacyBlox over de AVG [18/20]: mogen persoonsgegevens nog buiten de EU worden opgeslagen?

26 februari 2018

Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Deze wet is de strengste ter wereld waar het gaat om de bescherming van persoonsgegevens. Een belangrijke randvoorwaarde uit deze wet is dat persoonsgegevens alleen nog mogen worden gebruikt of opgeslagen in landen die net zo veilig zijn als de Europese Unie zelf voorschrijft. Dat maakt werken in veel landen erg lastig – met name in de Verenigde Staten.

De AVG geldt in de gehele Europese Unie, plus in Noorwegen, Liechtenstein en IJsland – samen de Europese Economische Ruimte of EER geheten. Werkt u met bedrijven of instellingen in die landen, dan is er dus niets aan de hand. Maar gaat u buiten de EER, dan moet u nagaan of deze landen veilig zijn voordat u überhaupt met deze bedrijven in zee gaat.

Op dit moment zijn als veilige landen aangemerkt: Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten en Zwitserland. Het is nog niet duidelijk of het Verenigd Koninkrijk na de Brexit nog binnen de EER gerekend wordt, of dat er een aparte erkenning moet plaatsvinden. Dat laatste kan wel even duren, dus een voorzichtig Europees bedrijf zou niet snel meer persoonsgegevens in Engeland laten verwerken.

Specifiek bij de Verenigde Staten geldt nog wel dat de betrokken organisatie aan het Privacy Shield moet voldoen. Dit is een regeling tussen de VS en de EU, waarmee deze organisatie verklaart de Europese regels na te zullen leven en de VS aangeeft niet zomaar naar Amerikaans recht toegang te verlangen tot hun gegevens. Deze regeling wordt door juristen als twijfelachtig gezien, omdat “nationale veiligheid” wél een grond is voor toegang en niet duidelijk is wanneer deze ingeroepen kan worden.

Vanwege zorgen over het Privacy Shield zien we steeds vaker dat bedrijven liever zakendoen met een Europese dochter van een Amerikaans bedrijf, zoals de dochters van Amazon of Microsoft in Ierland en België. Deze bedrijven vallen gewoon onder de AVG. Een punt van zorg hierbij is dan weer of de Amerikaanse autoriteiten de moedermaatschappijen kunnen verplichten de gegevens van deze dochterbedrijven op te gaan halen. Deze vraag ligt nu bij de US Supreme Court en een positief antwoord zou ook deze constructie de nek om draaien.

Werkt u in andere landen, bijvoorbeeld een uitbestede klantenservice in India, dan moet u zelf maatregelen nemen. De meest voor de hand liggende oplossing is gebruik te maken van de zogeheten EU Model Clauses, waarmee u een contract opstelt dat de strenge Europese regels oplegt aan deze wederpartij. Gaat het om een buitenlands onderdeel van uw concern, dan kunt u ook werken met bindende bedrijfsvoorschriften (binding corporate rules) die zijn goedgekeurd door de toezichthouder.

Natuurlijk moet u met zo’n buitenlandse partij nog steeds een verwerkersovereenkomst sluiten, zoals we twee weken geleden zagen. Dat hoeft niet als de buitenlandse partij geen verwerker is, maar in dat geval moet u wel nagaan of u de persoonsgegevens wel mag verstrekken aan deze partij. Dat een land veilig is, betekent nog niet dat iedere organisatie in dat land die gegevens zomaar mag ontvangen. Ook dan gelden nog gewoon alle regels uit de AVG, zodat ook bij die organisatie de persoonsgegevens zo veilig mogelijk behandeld worden

Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.

MEER
LEZEN?

AVG

Voldoen aan privacywetgeving: het levert je organisatie voordelen op

Uit onderzoek blijkt namelijk dat het voldoen aan de privacywetgeving ook goed is voor je business. Door de juiste privacymaatregelen te treffen, ervaren organisaties voordelen, zoals: minder datalekken en minder verkoopvertragingen.
Lees meer

Met deze truc stel je ongemerkt inkoopvoorwaarden buiten werking

Wie met grotere bedrijven zaken doet, heeft ze vast al eens langs gehad: de inkoopvoorwaarden (General Purchasing Terms of GPT). Vaak heel lange en dreigend klinkende documenten, waar je dan maar even mee akkoord moet gaan anders geen inkooporder voor jou. Erg vervelend, want als je zomaar tekent dan ben je volledig aansprakelijk voor het kleinste foutje of vergissinkje. Er is echter een truc waarmee je het jezelf een stuk eenvoudiger maakt om van lastige inkoopvoorwaarden af te komen.
Lees meer

Zes contracten die iedere (internet)ondernemer moet hebben

Contracten, het liefst wil menig ondernemer er niets mee te maken hebben. Gezeur over kleine lettertjes staat het zakendoen maar in de weg. Toch is het onverstandig om volledig zonder contracten de weg op te gaan, althans als je geen zin hebt in juridische claims en hoge schadevergoedingen. Wees dus voorbereid en zorg dat je deze contracten in je tas (of hippe rugzak) hebt.
Lees meer
Arnoud Engelfriet

Arnoud Engelfriet

Arnoud Engelfriet is kennispartner bij JuriBlox. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.