Aanbevelingen voor doorgifte persoonsgegevens naar ‘derde landen’

In de vorige nieuwsbrief schreven we over de privacy-zaak “Schrems II” waarin door het Europees Hof een streep door het EU-VS Privacy Shield werd gezet. Dit betreft de afspraken tussen de EU en de VS op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS. De mogelijkheid om persoonsgegevens door te geven aan de VS door gebruikmaking van modelcontracten werd door het Europees Hof in stand gelaten. Wel moet dan in de praktijk ook sprake zijn van een gelijkwaardig beschermingsniveau.

Om verwerkers van persoonsgegevens tegemoet te komen bij het waarborgen van een gelijkwaardig beschermingsniveau heeft de European Data Protection Board (‘EDPB’) inmiddels een set aanbevelingen en maatregelen opgesteld die door bedrijven kunnen worden gehanteerd bij de uitwisseling van persoonsgegevens met derde landen: landen die geen lid zijn van de EU. De aanbevelingen staan op dit moment nog open voor consultatie en worden daarna definitief vastgesteld. Niettemin geven de conceptaanbevelingen alvast een aardig inzicht van de maatregelen die kunnen worden getroffen.

Hieronder worden kort de belangrijkste aanbevelingen en maatregelen van de EDPB genoemd:

    1. Breng de processen in kaart waarbij persoonsgegevens met derde landen (moeten) worden uitgewisseld;
    2. Ga na of er door de Europese Commissie al een adequaatheidsbesluit is genomen op grond waarvan doorgifte van persoonsgegevens aan het derde land of gebied toegestaan is. Als dat besluit nog gelding heeft zijn verdere maatregelen niet nodig. Indien er ten aanzien van het betreffende land geen adequaatheidsbesluit bestaat, moet er voor aan ander in de AVG genoemd instrument voor het doorgeven van persoonsgegevens worden gekozen. Opties zijn de eerder genoemde modelcontracten, bindende bedrijfsvoorschriften of goedgekeurde gedragscodes of certificeringen.
    3. Indien de gegevensuitwisseling op basis van een ander mechanisme dan een adequaatheidsbesluit plaatsvindt, moet worden onderzocht of er in het derde land sprake is van wet- of regelgeving die afbreuk doet aan het niveau van gegevensbescherming onder de AVG. Hierbij moet er specifieke aandacht zijn voor wetgeving die het overheidsinstanties toestaat toegang tot de persoonsgegevens te krijgen.
    4. Identificeer de maatregelen die nodig zijn om het gelijkwaardige beschermingsniveau te waarborgen en pas deze toe. Dit is enkel noodzakelijk als is gebleken dat er sprake is van wetgeving die afbreuk doet aan de doeltreffendheid van het instrument waarop de overdracht van de persoonsgegevens is gebaseerd. Door de EDPB genoemde voorbeelden van maatregelen die kunnen worden getroffen zijn onder meer encryptie of pseudonimisering van de persoonsgegevens. Bedrijven zullen per geval moeten beoordelen welke maatregel of combinatie van maatregelen nodig is om de persoonsgegevens goed te beschermen.
    5. Neem indien van toepassing de noodzakelijke formele stappen – het verkrijgen van toestemming van de toezichthoudende autoriteit – om het gekozen instrument van doorgifte te kunnen gebruiken.
    6. Na het doorlopen van deze vijf stappen kan de doorgifte plaatsvinden. Evalueer op regelmatige basis of het beschermingsniveau gewaarborgd blijft.

De aanbevelingen van de EDPB staan open voor commentaar van brancheverenigingen, maar ook bedrijven. De publieke consultatie start binnenkort via de website van de EDPB. Na de consultatie worden de aanbevelingen definitief vastgesteld.

Heeft u vragen over dit onderwerp? Neemt u dan contact op met Lise van den Heuvel (06-23492248).

Dit artikel is gepubliceerd in de Nieuwsbrief Vestius van december 2020