Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) is vaak essentieel voor internationale handel of samenwerking. Het kan zijn dat jouw bedrijf persoonsgegevens moet doorgeven aan een land buiten de EER in het kader van zijn activiteiten, bijvoorbeeld wanneer je persoonsgegevens moet delen met je zakelijke partners of met je leveranciers die buiten de EER zijn gevestigd.
De AVG bevat specifieke bepalingen voor dergelijke doorgiften. Met deze bepalingen beoogt de AVG hetzelfde beschermingsniveau te waarborgen voor persoonsgegevens die internationaal worden doorgegeven als persoonsgegevens die binnen de EER blijven.
Wanneer vindt een doorgifte van persoonsgegevens buiten de EER plaats?
De AVG geeft geen definitie van dergelijke doorgiften. De EDPB heeft echter de volgende drie cumulatieve criteria vastgesteld om een doorgifte buiten de EER te identificeren:

- een verwerkingsverantwoordelijke of een verwerker is onderworpen aan de AVG voor de gegeven verwerking;
- deze verwerkingsverantwoordelijke of verwerker zendt de persoonsgegevens door naar of stelt deze beschikbaar aan een andere organisatie (gegevensbeheerder of verwerker);
- deze andere organisatie bevindt zich in een land buiten de EER of is een internationale organisatie.
Hoe kunnen persoonsgegevens buiten de EER worden doorgegeven?
Kort gezegd legt de AVG beperkingen op aan de doorgifte van persoonsgegevens buiten de EER, naar niet-EER-landen of internationale organisaties, om ervoor te zorgen dat het beschermingsniveau dat individuen genieten door de AVG, hetzelfde blijft.
Persoonsgegevens mogen alleen buiten de EER worden doorgegeven in overeenstemming met de voorwaarden voor dergelijke doorgiften die zijn vastgelegd in hoofdstuk V van de AVG.

De voorwaarden voor doorgiften moeten worden nageleefd naast de algemene naleving van andere AVG-regels. Deze voorwaarden vormen bijvoorbeeld een aanvulling op de basisbeginselen van gegevensverwerking, die ook in het kader van internationale doorgiften in acht moeten worden genomen. Bij het doorgeven van persoonsgegevens moet je er nog steeds voor zorgen dat je over een passende rechtsgrond voor de verwerking beschikt; dat de nodige veiligheidsmaatregelen worden uitgevoerd; dat je alleen de persoonsgegevens verwerkt die nodig zijn voor deze specifieke verwerking (beginsel van gegevensminimalisatie), enz. Als de ontvanger van de persoonsgegevens optreedt als gegevensverwerker, ben je nog steeds wettelijk verplicht om een overeenkomst op te stellen. Net als bij een verwerker binnen de EER.
Volgens de AVG zijn er in principe twee belangrijke manieren om persoonsgegevens door te geven aan een niet-EER-land of internationale organisatie. Doorgiften kunnen plaatsvinden op basis van een adequaatheidsbesluit of, bij afwezigheid van een dergelijk besluit, op basis van passende waarborgen, waaronder afdwingbare rechten en rechtsmiddelen voor personen. Bij afwezigheid van een adequaatheidsbesluit of passende waarborgen voorziet de AVG in specifieke uitzonderingen in bepaalde gevallen.
Hieronder vind je meer informatie over de verschillende opties.
Doorgifte van gegevens op basis van een adequaatheidsbesluit
De Europese Commissie heeft de mogelijkheid om adequaatheidsbesluiten vast te stellen om formeel te bevestigen, met bindende werking voor EER-landen, dat het niveau van gegevensbescherming in een niet-EER-land of een internationale organisatie in wezen gelijkwaardig is aan het beschermingsniveau in de Europese Economische Ruimte.
Bij de beoordeling van de toereikendheid van het beschermingsniveau neemt de Europese Commissie elementen in overweging zoals de staat van de rechtsstaat, de eerbiediging van de mensenrechten en de fundamentele vrijheden, alsook de vraag of de rechten van betrokkenen al dan niet doeltreffend en afdwingbaar zijn, het bestaan en de doeltreffende werking van een onafhankelijke gegevensbeschermingsautoriteit in het niet-EER-land en de internationale verbintenissen die het land of de internationale organisatie is aangegaan.

Als de Europese Commissie besluit dat het land een passend beschermingsniveau biedt en er een adequaatheidsbesluit wordt vastgesteld, kunnen persoonsgegevens worden doorgegeven aan een andere onderneming of organisatie in dat niet-EER-land zonder dat de gegevensexporteur, d.w.z. de entiteit die de gegevens doorgeeft, verplicht is verdere waarborgen te bieden of onderworpen te zijn aan aanvullende voorwaarden in verband met internationale doorgiften. Met andere woorden, de doorgifte naar een „adequaat” niet-EER-land zal vergelijkbaar zijn met een doorgifte van gegevens binnen de EER. Jouw organisatie zal echter nog steeds moeten voldoen aan de andere basisprincipes van de AVG, zoals hierboven uiteengezet.
Adequaatheidsbesluiten kunnen betrekking hebben op een land als geheel of beperkt zijn tot een deel ervan (d.w.z. tot een regio). Adequaatheidsbesluiten kunnen betrekking hebben op alle gegevensdoorgiften naar een land of beperkt blijven tot bepaalde soorten doorgiften (bijvoorbeeld in één sector).
Tot dusver heeft de Europese Commissie adequaatheidsbesluiten vastgesteld voor:
- Andorra,
- Argentinië,
- Canada (commerciële organisaties),
- De Faeröer,
- Guernsey,
- Israël,
- Het eiland Man,
- Japan,
- Jersey,
- Nieuw-Zeeland,
- De Republiek Korea,
- Zwitserland,
- Het Verenigd Koninkrijk,
- De Verenigde Staten (commerciële organisaties die deelnemen aan het EU-VS Data Privacy Framework),
- en Uruguay.
De Europese Commissie publiceert de lijst van haar adequaatheidsbesluiten op haar website.
Gegevensexporteurs zijn verantwoordelijk voor het toezicht op de vraag of adequaatheidsbesluiten die relevant zijn voor hun doorgiften nog steeds van kracht zijn en niet worden ingetrokken of ongeldig gemaakt.
Houd er rekening mee dat adequaatheidsbesluiten personen niet beletten een klacht in te dienen. Evenmin beletten zij gegevensbeschermingsautoriteiten (DPA’s) om hun bevoegdheden uit hoofde van de AVG uit te oefenen.
Doorgifte van gegevens op basis van passende waarborgen
Bij afwezigheid van een adequaatheidsbesluit kunnen organisaties ook persoonsgegevens doorgeven wanneer passende waarborgen kunnen worden geboden ten aanzien van de organisatie die de persoonsgegevens ontvangt. Bovendien moeten personen in staat zijn hun rechten uit te oefenen en over doeltreffende rechtsmiddelen beschikken.
Artikel 46 AVG bevat een reeks instrumenten die „passende waarborgen” bevatten die je kunt gebruiken om persoonsgegevens door te geven aan niet-EER-landen bij gebrek aan adequaatheidsbesluiten. De belangrijkste soorten van de doorgiftesinstrumenten van artikel 46 van de AVG, die relevant zijn voor particuliere organisaties, zijn:
- Een modelcontract (SCC);
- Binding corporate rules (BCR);
- Gedragscodes;
- Certificeringsmechanismen;
- Ad-hoccontractbepalingen.
Een modelcontract (SCC’s)
Een modelcontract (SCC) is een standaardcontract dat gegevensexporteurs in staat stelt passende waarborgen te bieden. Het is een tool die vaakgebruikt wordt door veel organisaties. De Europese Commissie heeft de bevoegdheid om SCC’s vast te stellen als passende waarborg voor de doorgifte van persoonsgegevens aan niet-EER-landen op grond van artikel 46, lid 2, onder c), AVG.

Op 4 juni 2021 heeft de Europese Commissie een uitvoeringsbesluit vastgesteld inzake SCC’s voor de doorgifte van persoonsgegevens aan niet-EER-landen in het kader van de AVG. De Europese Commissie biedt ook een reeks modelcontracten op hun website. Lees meer over de modelcontracten.
De SCC’s behandelen verschillende doorgiftescenario’s en de complexiteit van moderne verwerkingsketens. Verwerkingsverantwoordelijken en verwerkers kunnen verschillende opties gebruiken, afhankelijk van de specifieke omstandigheden van de doorgifte, waaronder:
- controller-to-controller (C2C);
- controller-to-processor (C2P);
- processor-to-processor (P2P);
- processor-to-controller (P2C), de verwerker in de EU en de verwerkingsverantwoordelijke in een derde land.
Andere belangrijke aspecten van de SCC’s zijn:
- de mogelijkheid voor meer dan twee partijen om zich aan de clausules te houden;
- een mogelijkheid, op enkele uitzonderingen na, om gebruik te maken van SCC’s bij de doorgifte van persoonsgegevens aan een subverwerker in een niet-EER-land;
- een mogelijkheid voor personen om, op enkele uitzonderingen na, een beroep te doen op de clausules als derde begunstigden;
- regels inzake aansprakelijkheid tussen de partijen in geval van schending van de rechten van personen;
- Het recht van particulieren op vergoeding van schade die is geleden wanneer hun rechten als derde begunstigde zijn geschonden;
- een vereiste om een Data Transfer Impact Assessment (DTIA) uit te voeren waarin de specifieke omstandigheden van de doorgifte, de wetgeving in het land van bestemming en de aanvullende waarborgen die zijn ingevoerd om de persoonsgegevens te beschermen, worden gedocumenteerd;
- verplichtingen in geval van toegang van overheidsinstanties tot de doorgegeven gegevens, bijvoorbeeld de verplichting om gegevensexporteurs te verstrekken en onrechtmatige verzoeken aan te vechten.
Binding Corporate Rules (BCR’s)
Binding Corporate Rules (BCR’s) helpen bij het waarborgen van een passend beschermingsniveau voor gegevens die worden uitgewisseld binnen een groep ondernemingen die zowel binnen als buiten de EER zijn gevestigd, en zijn meer geschikt voor een multinationale groep van ondernemingen die een groot aantal gegevensdoorgiften uitvoert.

BCR’s zijn interne regels die zijn vastgesteld door een groep ondernemingen, waarin hun wereldwijde beleid voor de doorgifte van persoonsgegevens wordt uiteengezet. Deze regels moeten bindend zijn en nageleefd worden door alle partijen, ongeacht hun gastland. Bovendien moeten zij personen uitdrukkelijk afdwingbare rechten verlenen met betrekking tot de verwerking van hun persoonsgegevens.
De voorwaarden waaraan moet worden voldaan om een BCR door de bevoegde gegevensbeschermingsautoriteit te laten goedkeuren, worden vermeld in artikel 47 AVG en nader toegelicht in de aanbevelingen die door de Artikel 29 Werkgroep zijn goedgekeurd en door de EDPB zijn goedgekeurd. Voor BCR-verwerkingsverantwoordelijken en BCR-verwerkers is een andere set beschikbaar.
Lees meer
Aanbeveling betreffende het standaardaanvraagformulier voor de goedkeuring van bindende bedrijfsvoorschriften voor de verwerking voor de verwerking voor de doorgifte van persoonsgegevens van het EDPB
EDPB
De Groep artikel 29: aanbeveling inzake de goedkeuring van de Verwerker Binding Corporate Rules
Nieuwszaal van de Europese Commissie
Gedragscodes

De AVG introduceert deze nieuwe tool voor gegevensdoorgifte. In tegenstelling tot de BCR’s, die rechtstreeks door individuele groepen van ondernemingen kunnen worden opgesteld, zijn gedragscodes per sector afgesproken en ontwikkeld door sectororganisaties. Er moet een systeem van geaccrediteerde instanties worden ingevoerd dat toezicht houdt op de naleving van de gedragscode. De EDPB heeft het initiatief genomen om te verduidelijken onder welke voorwaarden gedragscodes mogen worden gebruikt en goedgekeurd door de bevoegde autoriteiten. Daarnaast is het EDPB ook verantwoordelijk voor de consistentie van de voorwaarden waaronder toezichthoudende instanties kunnen worden geaccrediteerd.
Certificering

De AVG introduceert deze nieuwe tool voor gegevensdoorgifte naar organisaties die zijn gecertificeerd door certificeringsinstanties of EER-DPA’s.
De EDPB heeft richtsnoeren vastgesteld ter verduidelijking van de voorwaarden waaronder een certificeringsmechanisme kan worden ingevoerd. Deze tool is nog in ontwikkeling.
De EDPB is ook belast met het waarborgen van de samenhang van de voorwaarden voor de accreditatie van certificeringsinstanties.
Ad-hoc-contractbepalingen

Als verwerkingsverantwoordelijken of verwerkers besluiten de standaardcontractbepalingen van de Europese Commissie niet te gebruiken, kunnen zij hun eigen contractuele clausules („ad hoc”-clausules) opstellen die voldoende waarborgen voor gegevensbescherming bieden. Voordat gegevens worden doorgegeven, moeten dergelijke ad-hoc-contractbepalingen worden goedgekeurd door de bevoegde nationale gegevensbeschermingsautoriteit overeenkomstig artikel 46, lid 3, onder a), AVG, na advies van de EDPB.
Lees meer
Aanvullende maatregelen na de uitspraak van Schrems II

In zijn arrest C-311/18 (Schrems II) van 2020 heeft het Hof van Justitie van de Europese Unie (HvJ-EU) benadrukt dat organisaties, naast passende waarborgen, aanvullende maatregelen moeten nemen bij de doorgifte van persoonsgegevens buiten de EER.
SCC’s en andere in artikel 46 AVG genoemde doorgifte-instrumenten werken niet in een vacuüm. Het HvJ-EU verklaarde dat verwerkingsverantwoordelijken of verwerkers, die optreden als exporteurs, per geval verantwoordelijk zijn voor het controleren of de wetgeving of de praktijk van het niet-EER-land, bijvoorbeeld als gevolg van wetgeving waarbij toegang tot gegevens wordt opgelegd, afbreuk doet aan de doeltreffendheid van de passende waarborgen die zijn opgenomen in de doorgifte-instrumenten van artikel 46 AVG.
Om exporteurs te helpen bij de complexe taak om de landen die de gegevens ontvangen te beoordelen en waar nodig passende aanvullende maatregelen vast te stellen, heeft de EDPB aanbevelingen aangenomen.
Doorgifte van gegevens op basis van afwijkingen
Naast adequaatheidsbesluiten en artikel 46 AVG-doorgifte-instrumenten, bevat de AVG een derde weg die doorgifte van persoonsgegevens in bepaalde situaties mogelijk maakt. Onder specifieke voorwaarden kunt u mogelijk nog steeds persoonsgegevens doorgeven op basis van een afwijking zoals vermeld in artikel 49 van de AVG.
Art. 49 AVG heeft een uitzonderlijk karakter. De afwijkingen moeten zodanig worden uitgelegd dat zij niet in strijd zijn met de aard van de afwijkingen als uitzonderingen op de regel dat persoonsgegevens niet naar een niet-EER-land mogen worden doorgegeven, tenzij dat land voorziet in een passend niveau van gegevensbescherming of, als alternatief, passende waarborgen biedt. Afwijkingen kunnen in de praktijk niet „de regel” worden, maar moeten worden beperkt tot specifieke situaties.
Op basis van artikel 49 van de AVG kan een doorgifte of een reeks doorgiften plaatsvinden wanneer de doorgifte:

- plaatsvindt met uitdrukkelijke toestemming van de persoon;
- noodzakelijk is voor de uitvoering van een overeenkomst tussen de persoon en de organisatie of voor de op verzoek van de betrokkene genomen precontractuele stappen;
- noodzakelijk is voor de uitvoering van een contract dat in het belang van de persoon is gesloten tussen de verwerkingsverantwoordelijke en een andere persoon;
- noodzakelijk is om belangrijke redenen van algemeen belang;
- noodzakelijk is voor de instelling, uitoefening of onderbouwing van rechtsvorderingen;
- noodzakelijk is ter bescherming van de vitale belangen van de betrokken persoon of van andere personen, wanneer de betrokkene fysiek of juridisch niet in staat is zijn toestemming te verlenen; of
- verricht vanuit een register dat volgens het nationale recht van een EER-land of EU-recht bedoeld is om publiek voor te lichten (en dat openstaat voor raadpleging door het publiek in het algemeen of personen die een gerechtvaardigd belang bij de controle van het register kunnen aantonen).
Om de noodzaak van de doorgifte te beoordelen, moet een bepaalde „noodzaakelijkheidstoets” worden toegepast. Deze toets vereist een beoordeling van de vraag of een doorgifte van persoonsgegevens noodzakelijk kan worden geacht voor het specifieke doel van de afwijking in kwestie.
Wanneer geen van de bovenstaande afwijkingen van toepassing is op een specifieke situatie, is het mogelijk om gegevens over te dragen voor de dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke.
Dergelijke doorgiften zijn echter alleen toegestaan wanneer de doorgifte:
- niet repetitief is (vergelijkbare doorgiften vinden niet regelmatig plaats);
- betreft gegevens die betrekking hebben op slechts een beperkt aantal personen;
- noodzakelijk is voor de doeleinden van de dwingende gerechtvaardigde belangen van de organisatie (mits dergelijke belangen niet worden overschreden door de belangen van de persoon);
- onderworpen is aan passende waarborgen die door de organisatie zijn ingesteld (in het licht van een beoordeling van alle omstandigheden rond de doorgifte) om de persoonsgegevens te beschermen; en
- in het kader van de uitoefening van haar overheidsbevoegdheden niet door een overheidsinstantie wordt verricht.
In deze gevallen zijn organisaties verplicht om de relevante gegevensbeschermingsautoriteit op de hoogte te stellen van de doorgifte en aanvullende informatie aan personen te verstrekken.
In het algemeen mogen afwijkingen alleen als laatste redmiddel worden gebruikt om een gegevensdoorgifte in te stellen — organisaties moeten eerst beoordelen of het niet mogelijk is een adequaatheidsbesluit of een passende waarborg te gebruiken.
Bij een beroep op artikel 49 van de AVG moet u er rekening mee houden dat organisaties die gegevens overdragen ook moeten voldoen aan alle andere bepalingen van de AVG (een wettelijke basis hebben voor de mededeling van gegevens, beveiligingsmaatregelen implementeren, gegevensminimalisatie, een contract ondertekenen als de ontvanger een gegevensverwerker is, enz.).