Deze blog is geactualiseerd op 11 augustus 2023.
Veel ondernemingen zijn afhankelijk van doorgifte van persoonsgegevens naar landen buiten de Europese Unie (EU). Deze datadoorgifte is echter niet altijd toegestaan. Onder de Algemene Verordening Gegevensbescherming (AVG) is doorgifte slechts toegestaan aan landen, bepaalde sectoren binnen deze landen of internationale organisaties, die ‘een passend beschermingsniveau’ bieden, of op grond van één van de andere bepalingen uit hoofdstuk 5 van de AVG. Gezien de grote omvang van het onderwerp beperkt deze blog zich tot het criterium van ‘een passend beschermingsniveau’ van artikel 45 AVG.
Adequate bescherming
Hoewel de privacyregels van de AVG slechts gelden voor de Europese Economische Ruimte (EER) – dit zijn alle landen van de EU plus Liechtenstein, IJsland en Noorwegen – mogen persoonsgegevens ook verstuurd worden naar derde landen, wanneer aan specifieke voorwaarden is voldaan. Het adequaatheidsbesluit op basis van artikel 45 AVG is hier een voorbeeld van. Een adequaatheidsbesluit wordt genomen door de Europese Commissie (EC) en bepaalt dat een specifiek derde land (of sector binnen dat land, of internationale organisatie) een passend niveau van bescherming van persoonsgegevens biedt door middel van zijn nationale wetgeving of op basis van internationale verplichtingen.
Een vergelijkbaar niveau van gegevensbescherming bieden
Om te voldoen aan de adequaatheidseis hoeven de privacyregels van een derde land niet exact hetzelfde te zijn als die van de AVG; het gaat erom dat het derde land een ‘vergelijkbaar niveau van gegevensbescherming’ biedt. Hierbij worden door de EC niet enkel de toepasselijke privacybepalingen beoordeeld, maar wordt bijvoorbeeld ook het toezicht op de naleving van deze regels bekeken. De EC kijkt onder andere naar:
- de mate van overheidsinmenging;
- de eerbiediging van de mensenrechten en de fundamentele vrijheden;
- de relevante wetgeving;
- het bestaan en de doeltreffende werking van een of meer onafhankelijke toezichthoudende autoriteiten; en
- de internationale verbintenissen die het derde land of de internationale organisatie is aangegaan.
Welke landen zijn al adequaat bevonden?
De EC heeft tot nu toe adequaatheidsbesluiten genomen voor de volgende landen: Andorra, Argentinië, Canada (ziet alleen op commerciële organisaties), Faeröer Eilanden, Guernsey, Isle of Man, Israël, Jersey, Nieuw-Zeeland, Uruguay, het Verenigd Koninkrijk, de Verenigde Staten (gelimiteerd tot Data Privacy Framework), Zuid-Korea en Zwitserland. Daarnaast zijn met Zuid-Korea momenteel onderhandelingen aan de gang en zijn de onderhandelingen met Japan recent afgerond, waardoor de verwachting is dat een adequaatheidsbesluit voor dit land binnenkort rechtsgevolgen zal krijgen.
De lijst met landen – en dus ondernemingen – waaraan data mag worden doorgegeven wordt alsmaar groter; een goed teken voor bedrijven die afhankelijk zijn van verwerking van persoonsgegevens door partijen die in derde landen zijn gevestigd. Er zijn echter geen strikte regels omtrent de houdbaarheid van adequaatheidsbesluiten, waardoor eerdere besluiten nauwlettend in de gaten moeten worden gehouden. Het Europees Parlement en de Raad kunnen de EC namelijk te allen tijde verzoeken het adequaatheidsbesluit te handhaven, te wijzigen of in te trekken - op grond van een verminderd niveau van gegevensbescherming.
Denk bijvoorbeeld aan het Privacy Shield dat in 2020 ongeldig is verklaard. Drie jaar later volgde pas het Data Privacy Framework, en is doorgifte naar de VS weer toegestaan.
