3 tips voor verwerken persoonsgegevens buiten EU

Slaat uw bedrijf persoonsgegevens van EU-burgers op buiten de EU? Ook dan moet u voldoen aan de Europese privacyregels, de AVG. Ook als iemand anders voor u de gegevens verwerkt. Hoe regelt u dit?

Verwerken persoonsgegevens buiten EU

Er zijn drie manieren waarop u bij de verwerking van persoonsgegevens buiten de EU kunt voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dat zijn:

1. U maakt in het contract met de verwerker gebruik van modelbepalingen die door de EU zijn opgesteld.
2. Uw organisatie maakt gebruik van bindende bedrijfsvoorschriften. Hierin legt de organisatie waarborgen vast voor de doorgifte van persoonsgegevens aan onderdelen van de organisatie die buiten de EU zijn gevestigd. Zonder deze waarborgen is verwerking van persoonsgegevens niet toegestaan. Zelfs niet als die gegevens binnen hetzelfde bedrijf blijven.
3. U laat de gegevens verwerken in een land waarvoor de Europese Commissie een adequaatheidsbesluit heeft genomen. Dit is een verklaring van de Commissie dat de bescherming van persoonsgegevens in het betreffende land voldoet aan de AVG.

Privacy Shield

Een variant van optie 3 is het EU-VS Privacy Shield. De Verenigde Staten als geheel bieden onvoldoende bescherming. Bedrijven en organisaties in de VS kunnen zich echter laten certificeren als zij aan de voorwaarden van het Privacy Shield voldoen en dit registreren bij het Amerikaanse Ministerie van Handel. Europese bedrijven mogen gegevens van EU-burgers laten verwerken door deze geregistreerde bedrijven. Dit Privacy Shield is echter ongeldig verklaard, wat ook gevolgen had voor het gebruik van de modelbepalingen.

Om dit op te lossen, heeft de Europese Commissie twee maatregelen genomen. Als eerste zijn de modelbepalingen aangepast, zodat deze weer bruikbaar zijn. Daarnaast komen de EU en de VS met een aanvullende regeling voor het Privacy Shield, het Trans-Atlantic Data Privacy Framework.

Modelbepalingen

Om u te helpen met het maken van afspraken met uw verwerker buiten de EU heeft de EU modelbepalingen opgesteld, die u daarvoor kunt gebruiken. Na het ongeldig verklaren van het Privacy Shield zijn deze modelbepalingen aangescherpt. De nieuwe bepalingen staan hier in het Nederlands en het Engels.

Let op: Als uw verwerker buiten de EU gegevens van EU-burgers laat verwerken door een andere verwerker buiten de EU, dan moet hun overeenkomst dezelfde bescherming bieden. Dus ook als beide partijen bij de verwerkingsovereenkomst buiten de EU gevestigd zijn, kan het nodig zijn om gebruik te maken van de standaardcontractbepalingen. Zorg dat uw verwerker dit weet!

Partijen zijn niet verplicht om de standaardbepalingen te gebruiken, maar zij zullen wel minstens dezelfde bescherming moeten vastleggen in de overeenkomst, als door de standaardbepalingen wordt gegarandeerd. Dat zal niet eenvoudig zijn.

De modelbepalingen zijn er voor verschillende typen overeenkomsten. Let op: de modelbepalingen zijn er in modules en in verschillende uitvoeringsbesluiten. Bovendien kunnen binnen de modelbepalingen nog verschillende opties gekozen worden. Goede juridische voorlichting hierover is dus van groot belang.

Trans-Atlantic Data Privacy Framework (TADP)

Papier is geduldig. De bepalingen op zich zeggen dus niet alles. Met name als in het land van de verwerker bindende wetgeving is die de standaardbepalingen doorkruist is er een probleem. Dan moet in feite worden afgesproken hoe de verwerker kan garanderen dat diens eigen overheid geen toegang krijgt tot de gegevens van EU-burgers, als de overheid daarvoor geen door de AVG toegestane grondslag heeft. Dit speelde bij de verwerking van persoonsgegevens in de Verenigde Staten. Daarom is het EU-US Privacy Shield ongeldig verklaard.

Dat heeft echter ook gevolgen voor het gebruik van de modelbepalingen. Bedrijven in de Verenigde Staten kunnen immers moeilijk garanties geven voor het gedrag van de Amerikaanse veiligheidsdiensten. Daarom werken de EU en de VS aan een nieuwe regeling: het Trans-Atlantic Data Privacy Framework. Wat zal hierin staan?

Volgens de verklaring van het Witte Huis verbinden de VS zich in deze regeling tot:

1. Versterking van de waarborgen voor privacy en burgerlijke vrijheden die gelden bij het onderzoek door veiligheidsdiensten naar dataverkeer.
2. Oprichting van een bindende klachtenregeling bij een onafhankelijke autoriteit.
3. Verbetering van de reeds bestaande rigoureuze en meervoudige toezicht op het onderzoek door veiligheidsdiensten naar dataverkeer.

Hiermee zal volgens de EU wel voldaan worden aan de AVG. De komende tijd zullen deze doelstellingen worden uitgewerkt in juridische regelingen.

Het Trans-Atlantic Data Privacy Framework komt niet in plaats van het Privacy Shield, maar is een aanvulling daarop. Het systeem van het Privacy Shield blijft intact. Het Privacy Shield wordt echter alleen weer van belang als het TADP van kracht wordt. Tot die tijd kunt u in overeenkomsten met verwerkers in de VS gebruik maken van de nieuwe modelbepalingen. Gaat het om verwerking door een ander deel van uw organisatie, dan kunt u in plaats daarvan gebruik maken van bindende bedrijfsvoorschriften.

En ongetwijfeld zal ook de vraag of het TADP wel voldoet aan de AVG nog worden voorgelegd aan het Europese Hof.

Advocaat privacy en AVG

Heeft u vragen over modelbepalingen of wilt u dat wij voor u bindende bedrijfsvoorschriften opstellen? Of heeft u andere vragen over privacy en verwerking van persoonsgegevens? Neem contact met ons op: