Internationale doorgifte van persoonsgegevens

Dit zijn de aandachtspunten 07 juli 2021

Binnen iedere onderneming worden persoonsgegevens verwerkt in de zin van de Algemene verordening gegevensbescherming (‘AVG’). De kans is groot dat er binnen een organisatie sprake is van internationale doorgifte van persoonsgegevens. Hoe deel je persoonsgegevens rechtsgeldig en veilig?

Zo is er bijvoorbeeld sprake van een internationale doorgifte van persoonsgegevens als een onderneming deel uitmaakt van een internationaal concern en er is er een database met klantgegevens of personeelsdossiers waar alle vestigingen toegang toe hebben. Ook als een onderneming geen internationaal karakter heeft, kan er toch sprake zijn van een internationale doorgifte van persoonsgegevens. Dit is bijvoorbeeld het geval als werknemers in de cloud werken en de servers waar de persoonsgegevens worden opgeslagen staan in het buitenland. Hoe deel je persoonsgegevens rechtsgeldig en veilig met derde landen, waaronder Amerika en het VK?

Doorgifte naar Amerika & het Verenigd Koninkrijk

Amerika
Het EU-US Privacy Shield was de juridische basis waarmee persoonsgegevens tussen Amerikaanse en Europese bedrijven konden worden doorgegeven. Op 16 juli 2020 zette het Europese Hof echter een streep door het Privacy Shield in het Schrems 2 arrest omdat dit verdrag onvoldoende bescherming voor de persoonsgegevens van Europese burgers kon garanderen. Sindsdien is het niet meer toegestaan om persoonsgegevens uit te wisselen met Amerika op basis van het Privacy Shield.

Verenigd Koninkrijk
Het Verenigd Koninkrijk heeft de Europese Unie op 31 januari 2020 verlaten. Daardoor is het VK niet meer gebonden aan de AVG. Het delen van persoonsgegevens met het VK is voorlopig toegestaan en zal op korte termijn worden geformaliseerd. De verwachting is dat dat er binnenkort een adequaatheidsbesluit voor het VK volgt.

Veilig delen van persoonsgegeven bij internationale doorgifte

Voor organisaties is het belangrijk om de internationale doorgifte van persoonsgegevens kritisch te evalueren en indien nodig direct actie te ondernemen om eventuele sancties te vermijden. Het volgende stappenplan kan hierbij worden gebruikt:

  1. Breng ontvangers van persoonsgegeven in kaart
    Weet als verwerkingsverantwoordelijke exact waar persoonsgegevens naartoe gaan. Controleer bij de Europese ontvangers of zij hun gegevens buiten de EU doorgeven, bijvoorbeeld doordat gebruik wordt gemaakt van cloudopslag op servers buiten de EU of dat er sprake is van een buitenlandse helpdesk.
  2. Controleer op basis waarvan er persoonsgegevens buiten de EU worden doorgegeven.
    Voor elke doorgifte van persoonsgegevens moet de organisatie nagaan i) of er voor het ontvangende land een adequaatheidsbesluit is gegeven, en zo niet ii) of de doorgifte op basis van een ander doorgifte instrument kan worden gelegitimeerd, zoals ‘binding corporate rules’ of toestemming van de betrokkene.Indien is vastgesteld dat de doorgifte van persoonsgegevens naar Amerika op basis van het Privacy Shield plaatsvindt, moet er óf gestopt worden met deze doorgifte, óf een alternatieve grondslag worden aangewend voor de doorgifte. Voor zo ver de doorgifte plaatsvindt op basis van de modelcontracten (‘Standard Contractual Clauses’), zal van geval tot geval moeten worden afgewogen of dit nog aanvaardbaar is en welke alternatieven hiervoor eventueel beschikbaar zijn.
  3. Controleer de lokale wetgeving
    Controleer of er wet- en regelgeving is die afbreuk kan doen aan de bescherming van persoonsgegevens. Dit is vooral belangrijk wanneer in het derde land onduidelijke of ontoegankelijke wetgeving is over toegang tot persoonsgegevens.
  4. Aanvullende beschermingsmaatregelen vaststellen en uitvoeren
    Als blijkt dat wetgeving van het derde land onvoldoende bescherming biedt, zijn aanvullende maatregelen nodig, zoals encryptie of pseudonimisering.
  5. Kies waar mogelijk voor gegevensopslag binnen de EU
    Veel dienstverleners van buiten de EU hebben de afgelopen jaren de mogelijkheid toegevoegd om te kiezen voor gegevensopslag binnen de EU. Als dat gebeurt op een manier waarbij er daadwerkelijk geen verwerking is buiten de EU, hoeven er geen extra maatregelen getroffen te worden.
  6. Blijf checken
    Is de bescherming van onze gegevens nog steeds voldoende gewaarborgd?

Een voorbeeld:

HR maakt gebruik van een Amerikaanse HR-tool. Daarmee worden persoonsgegevens op een Amerikaanse server opgeslagen. Bekijk in eerste instantie of de leverancier ook de mogelijkheid biedt om de gegevens in de EU op te slaan. Vraag hier ook expliciet naar. Is dit niet het geval, bekijk dan of je deze gegevens kunt encrypten of pseudonimiseren. Je zou bijvoorbeeld de beoordelingsgespreken zo kunnen opslaan dat je niet weet over wie de beoordeling gaat. De sleutel voor het decoderen moet dan op een Europese server staan. De uiteindelijke verantwoordelijkheid om aan de privacyregels te voldoen ligt altijd bij de organisatie die de persoonsgegevens verwerkt.