Zo werkt AVG over de grens

Mag je persoonsgegevens over een landsgrens of niet? Het antwoord is complexer dan je denkt. En denk ook niet te snel dat dit onderwerp voor jou niet relevant is, want het is goed mogelijk dat je onbewust gegevens over de grens stuurt.

Cloud

De cloud is fantastisch. Het helpt enorm om flexibel te kunnen werken en houdt onze data veilig. Er is ook een keerzijde: we weten niet altijd precies in welk land de gegevens worden verwerkt. Werk je met Google GSuite of Microsoft Office365? Dan kun je een verklaring (verwerkersovereenkomst op basis van een modelcontract) inzien, zodat je wél weet wat er met je data gebeurt.

Google
Bekijk het GSuite model contract
Bekijk de aanvullende verwerkersovereenkomst

 

Microsoft
Bekijk het model contract

 

Maak je gebruik van een andere cloud-opslagdienst om je dataverwerking uit te voeren? Dan moet je op zoek naar het antwoord op de vraag 'waar worden de data opgeslagen en worden die overeenkomstig de eisen verwerkt?'.

Eisen

Alle landen binnen de Europese economische zone voldoen aan de gestelde maatregelen. Daarmee kunnen zonder meer gegevens worden uitgewisseld. Dit betekent dat voor alle 28 EU-landen, Noorwegen, Liechtenstein en IJsland geen beperkingen gelden op basis van de AVG. Bij landen buiten de Europese economische zone geldt dat adequate bescherming moet zijn vastgesteld om gegevens te mogen overdragen.  

Welke eisen stelt de Europese Commissie aan cross border personal data processing? In beginsel is het uitgangspunt dat gegevens in het land waar deze ter verwerking worden door het individu in het andere land (of territoria) hetzelfde niveau van (of adequate) bescherming ontvangen. Dit wordt beoordeeld aan de hand van de volgende criteria:

• De geldende wet- en regelgeving voor dat land
• Respect voor rechten en vrijheden van de mens
• Relevante wetgeving
• Algemene rechten en sectorspecifiek waaronder publieke veiligheid, defensie, nationale veiligheid, rechtspraak en toegang voor publieke autoriteiten tot privacygegevens
• Het aanwezig zijn van een onafhankelijke autoriteit/toezichthouder
• Andere bindende laterale verdragen die invloed hebben op de bescherming van persoonsgegevens

De lijst

De Europese Commissie houdt een lijst bij met landen/territoria waarvoor het is toegestaan om gegevens uit te wisselen. Deze lijst wordt normaliter iedere 4 jaar bijgewerkt, tenzij er aanleiding is om dit vaker te doen, bijvoorbeeld in het geval van het uitbreken van een oorlog. De lijst vind je hier.

Niet op de lijst?

Wil je data transporteren naar landen die niet op deze lijst voorkomen? Dan begeef je je mogelijk op glad ijs en moet je aan de slag met het bieden van adequate bescherming. Uiteraard kan dit op basis van het transparantieprincipe door expliciet goedkeuring te vragen, maar dat is veel werk en foutgevoelig. Voor mondiaal opererende ondernemingen is er nog een alternatief: de Binding Corporate Rules, een set afspraken die een onderneming maakt als gedragscode om de privacy te waarborgen.

Zelf aan de slag

Het allerbelangrijkste is dat je weet waar je data worden verwerkt of opgeslagen. Let wel: back-ups bevatten ook persoonsgegevens. Het maakt niet uit of ze zijn versleuteld of niet: de data zijn er en ze gaan bij cloud back-upsystemen dus ook de grens over.

 

Slimmer en sneller boekhouden?

Met SnelStart kies je zelf in hoeverre je je administratie automatiseert. Van razendsnel factureren en optimaal inzicht in je cijfers tot een geautomatiseerd debiteurenbeheer en/of voorraadbeheer. Bekijk nu welk pakket bij jouw bedrijf past. Bekijk meer
Aan dit artikel kunnen geen rechten worden ontleend. De inhoud is met de grootste zorg samengesteld.