Doorgifte van persoonsgegevens buiten de EU: Hoe bescherm ik privacy?

Schrems-II, Juridische achtergrond, Privacy Shield, buiten EER

Geplaatst 15-07-20

Bij doorgifte van gegevens naar een organisatie buiten de EU / EER gelden aanvullende voorwaarden. De doorgifte (“exporteren”) van persoonsgegevens naar een land buiten de EER is alleen toegestaan als het beschermingsniveau bij de partij in het betreffende land minstens even hoog is als het niveau binnen de EU. Het is aan de verwerkingsverantwoordelijke om ervoor te zorgen dat een passend beschermingsniveau wordt gewaarborgd.

Lees hier over de verschillende manieren om dat te realiseren.

Doorgifte op basis van een “adequaatheidsbesluit”

Als een land buiten de EU in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een “adequaatheidsbeslissing” nemen. De EC stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG.

Een adequaatheidsbesluit kan beperkt zijn tot een bepaalde sector of voorschrijven dat de partij in het buitenland zich committeert aan gedragsregels, die in een internationale overeenkomst zijn vastgelegd tussen de EU en het betreffende land.

Privacy Shield is een voorbeeld van een dergelijke internationale overeenkomst.

Doorgifte op basis van modelcontractbepalingen (SSC)

Als er geen sprake is van een adequaatheidsbeslissing, dan moeten er andere passende waarborgen zijn als een organisatie persoonsgegevens wil doorgeven aan een land buiten de EU. Dat kan met modelcontractbepalingen die door de Europese Commissie zijn vastgesteld.

De AVG stelt wel als voorwaarde dat wanneer een organisatie deze instrumenten wil gebruiken voor doorgifte, dit samen moeten gaan met bindende en afdwingbare toezeggingen van de partij in het derde land om de juiste waarborgen toe te passen.

Effectief privacymanagement?

Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor AVG en Toezicht.

Effectief privacymanagement?

Doorgifte op basis van bindende bedrijfsvoorschriften (BCR)

BCR zijn door de toezichthoudende autoriteit getoetste gedragsregels voor doorgifte van persoonsgegevens naar landen zonder adequaat beschermingsniveau (derde landen) wereldwijd die gelden binnen multinationals. Alle werknemers en entiteiten binnen het concern moeten zich houden aan de opgestelde bedrijfsvoorschriften.

Artikel 49 van de AVG biedt mogelijkheden om in een aantal specifieke gevallen persoonsgegevens door te geven aan een land waarvoor geen adequaatheidsbeslissing bestaat, bijvoorbeeld wanneer het gaat om een incidentele verwerking of wanneer er expliciete toestemming van de betrokkene is verkregen.

Onze belofte

Wat mag je van ons verwachten als je kiest voor TrustBound GRC voor het registreren van je verwerkingen?

  1. Meetbaar resultaat binnen enkele weken

    Ons platform werkt als een vliegwiel. Met pasklare templates heb je in korte tijd de basis op orde. Realtime rapportages geven bovendien snel zicht op de grootste risico’s.

  2. Samenwerken wordt vanzelfsprekend

    TrustBound GRC is gericht op samenwerken. Medewerkers uit verschillende teams en disciplines worden verbonden door de eenduidige structuur en gemeenschappelijke doelen.

  3. Je staat er niet alleen voor

    We staan voor je klaar, tijdens de implementatiefase én daarna. Bovendien wordt het TrustBound GRC Platform gedragen door een netwerk van gespecialiseerde Kennispartners, waardoor altijd hoogwaardige kennis beschikbaar is voor inhoudelijke vraagstukken.

  4. Verrassend doordacht

    Wij maken al 20 jaar software om het werk van professionals effectiever en leuker te maken. Niet met een eindeloze rij knoppen en schermen, maar met doordachte functies die verrasssen door eenvoud en bijdragen aan de verbetering van je aanpak.