AVG, gegevens over de grens

door: Carlo Kuip op: 15 februari 2018

AVG, gegevens over de grens

Hoe werkt dat nu, het versturen van persoonsgegevens over een landsgrens, al dan niet binnen de EU. Mag dat of niet? Als u een kort en bondig antwoord verwacht, moet ik u helaas teleurstellen. Het versturen van gegevens naar een ander land is wederom een complex verhaal. 

Misschien denkt u: dit is voor mij niet relevant, want ik doe niks met het buitenland. Nou, misschien stuurt u onbewust toch gegevens over de grens! Even opletten dus.

Cloud

De Cloud is fantastisch, het helpt enorm in het flexibel kunnen werken en veilig houden van onze data. Er is echter ook een keerzijde: we weten niet altijd precies in welk land onze gegevens worden verwerkt. Werkt u met Google GSuite of Microsoft Office365, dan kunt u in ieder geval een verklaring (verwerkersovereenkomst op basis van een modelcontract) inzien, zodat u wel weet wat er met uw data gebeurt.

Google

Microsoft

Maar wat nu als u gebruik maakt van een andere Cloud-opslagdienst om uw dataverwerking uit te voeren? Dan moet u dus op zoek naar het antwoord op de vraag: waar worden de data opgeslagen en worden die overeenkomstig de eisen verwerkt?

Eisen

Alle landen binnen de Europese economische zone voldoen aan de gestelde maatregelen en daarmee kunnen dus zonder meer gegevens worden uitgewisseld. Dit betekent dus dat voor alle 28 EU-landen, Noorwegen, Liechtenstein en IJsland geen beperkingen gelden op basis van de AVG. Bij landen buiten de Europese economische zone geldt dat er adequate bescherming moet zijn vastgesteld om gegevens te mogen overdragen.  

Welke eisen stelt de Europese Commissie aan cross border personal data processing? In beginsel is het uitgangspunt dat gegevens in het land waar deze ter verwerking worden door het individu in het andere land (of territoria) hetzelfde niveau van (of adequate) bescherming ontvangen. Dit wordt beoordeeld aan de hand van de volgende criteria:

  • De geldende wet- en regelgeving voor dat land
  • Respect voor rechten en vrijheden van de mens
  • Relevante wetgeving
    • Algemene rechten en sectorspecifiek waaronder publieke veiligheid, defensie, nationale veiligheid, rechtspraak en toegang voor publieke autoriteiten tot privacygegevens
  • Het aanwezig zijn van een onafhankelijke autoriteit/toezichthouder
  • Andere bindende laterale verdragen die invloed hebben op de bescherming van persoonsgegevens

De lijst

De Europese Commissie houdt een lijst bij met landen/territoria waarvoor het is toegestaan om gegevens uit te wisselen. Deze lijst wordt normaliter iedere vier jaar bijgewerkt, tenzij er aanleiding is om dit vaker te doen, bijvoorbeeld in het geval van het uitbreken van een oorlog. De lijst vindt u hier

Niet op de lijst?

Wilt u data transporteren naar landen die niet op deze lijst voorkomen, dan begeeft u zich mogelijk op glad ijs en zult u aan de slag moeten met het bieden van adequate bescherming. Uiteraard kan dit op basis van het transparantieprincipe door expliciet goedkeuring te vragen, maar dat is veel werk en foutgevoelig. Voor mondiaal opererende ondernemingen is er nog een alternatief: de Binding Corporate Rules, een set afspraken die een onderneming maakt als gedragscode om de privacy te waarborgen. Zie ook

Zelf aan de slag

Zoals ik in de inleiding al aangaf, het is complexe materie. Het allerbelangrijkste is dat u weet waar uw data worden verwerkt of opgeslagen. Let wel, back-ups bevatten ook persoonsgegevens. Het maakt niet uit of deze zijn versleuteld of niet: de data zijn er en gaan bij cloud back-upsystemen dus ook de grens over!

In mijn volgende blog, morgen, ga ik in op de ernst van een datalek. Want wat is er gelekt en welke gevolgen heeft dat? En vooral: wat moet je doen!