Voorwaarden persoonsgegevens overdracht buiten EU

Als u persoonsgegevens naar landen buiten de Europese Unie stuurt dan is er sprake van doorgifte van persoonsgegevens. Dit is alleen toegestaan als de het beschermingsniveau van de AVG wordt gehandhaafd. Het land buiten de EU moet dan een adequaat beschermingsniveau bieden, of u als verwerkingsverantwoordelijke biedt aanvullende waarborgen. Nog even, elke doorgifte van persoonsgegevens is een verwerking volgens de AVG, en moet u als verwerkingsverantwoordelijke voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (GDPR).

Welke landen voldoen aan de normering van de EU?

De EU heeft momenteel voor een twaalftal landen een adequaatheidsbeslissing genomen, waaronder Nieuw-Zeeland, Zwitserland en Canada (behalve Quebec). Ook voor de Verenigde Staten bestaan afspraken, maar alleen als de ontvangende partij zich houdt aan de principes zoals vastgelegd in het Privacy Shield. Voor meer informatie raadpleeg DPO Partner. Voor landen welke onderdeel maken van de Europese Economische Ruimte (EER) geldt dat zij de GDPR volgen (incl. Noorwegen, Liechtenstein en IJsland). In de situatie dat waarin een land de EUR verlaat (Brexit), zal totdat moment de verordening een adequaat beschermingsniveau bieden. Vanaf 29 maart 2019 is het Verenigd Koninkrijk niet meer onderdeel van de EU en zijn er aanvullende waarborgen nodig voor doorgifte van persoonsgegevens ter bescherming van betrokkene.

Welke passend beschermingsmaatregelen moet ik treffen?

Als de EU geen adequaatheidsbeslissing heeft genomen met een land buiten de EU zijn er aanvullende waarborgen noodzakelijk. Standaard contractbepalingen, die zijn vastgesteld door de Europese Commissie of door de Autoriteit Persoonsgegevens, kunnen daarvoor worden gebruikt. U als verwerkingsverantwoordelijke dient er op toe te zien dat de standaard contractbepalingen ongewijzigd worden overgenomen, maar vooral dat deze ook worden nageleefd. Een andere mogelijkheid voor een passend beschermingsniveau is door gebruik te maken van goedgekeurde gedragscodes of via een certificeringsmechanisme. Voorwaarde is wel dat deze partij buiten de EU bindende en afdwingbare toezeggingen doet om de passende beschermingsmaatregelen zal toepassen. Voor publieke organisaties is het een optie om door middel van een juridisch bindend en afdwingbaar instrument (overeenkomst of verdrag) passende waarborgen te treffen. Ondernemingen in concern verband kunnen bindende bedrijfsvoorschriften vaststellen.

Hebt u te maken met doorgifte van persoonsgegevens buiten de EU in uw organisatie, raadpleeg uw functionaris gegevensbescherming of DPO Partner.

Ambitie Frans Pijnenborg,
de man achter DPO Partner

Vanuit mijn passie om de klantbelofte waar te maken, ben ik sinds 2012 als compliance officer zelfstandig actief. Op het fundament van vertrouwen, ambieer ik het functioneren van organisaties te versterken. Privacy en IB vormen een waardevol goed voor iedere organisatie. Ik heb mij daar in gespecialiseerd om voor u een waardevolle gesprekspartner te zijn.

frans - Frans Pijnenborg CCP DPO

Kantoortijden:
Maandag tot en met vrijdag
8.30 – 17.00 uur

Privacy gaat 24/7 door.
In geval van calamiteit zoals een datalek of een default zijn wij altijd bereikbaar. 

Privacy- en cookie statement

Copyright © www.dpopartner.nl

Website gerealiseerd door: Van Laarhoven Websites