DEELT U PERSOONSGEGEVENS?

Deelt uw organisatie persoonsgegevens met andere partijen?

Bijvoorbeeld met verwerkers, groepsmaatschappeijen, andere verantwoordelijken of overheidsinstanties?

Het is dan van belang om na te gaan of dat mag en waar de persoonsgegevens dan worden opgeslagen of naar toe worden verstuurd.

MAG DELEN MET VERWERKERS?

Ja. Delen met verwerkers mag. Hier is geen rechtgsrond/grondslag voor nodig. Ze handelen alléén in opdracht en onder verantwoordelijkheid van uw organisatie. Maar ga wel na of verwerkers buiten de EER zijn gevestigd of de persoonsgegevens daarnaar doorgeven.  

WAT IS DOORGEVEN BUITEN DE EER?

Persoonsgegevens mogen op grond van de privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG) als uitgangspunt niet worden doorgegeven of worden gedeeld met partijen of personen die zich bevinden buiten de Europese Economische Ruimte (EER).

Het maakt dan niet uit of het om verwerkers gaat, om andere verantwoordelijken of groepsmaatschappijen.

Wat is de EER?

De EER is een geografisch gebied dat bestaat uit de landen van de Europese Unie, Liechtenstein, Noorwegen en IJsland.

Alleen als er een “passend beschermingsniveau” is in het land buiten de EER, mogen de persoonsgegevens daar naar worden doorgegeven. 

Kijk voor meer informatie over in welke landen een passend beschermingsniveau is, of hoe daarvoor kan worden gezorgd in ons Factsheet Dataexport.

FACTSHEET DATAEXPORT

MAG DELEN MET ANDERE PARTIJEN?

Delen met andere partijen of personen die geen verwerker zijn mag als:

Soms moet uw organisatie persoonsgegevens delen met andere partijen, bijvoorbeeld om de overeenkomst met de persoon uit te kunnen voeren. Bijvoorbeeld omdat u een boekingssite bent en de gegevens van de boeker aan het hotel doorgeeft. Of omdat u daartoe wettelijk verplicht bent, zoals bij het delen van loongegevens met de Belastingdienst.

In hele specifieke gevallen kan het nodig zijn om gegevens te delen ook als dat niet als doeleinde is gesteld en zelfs als het daarmee niet verenigbaar is. Bijvoorbeeld als u wettelijk verplicht bent om de gegevens aan de politie te verstrekken. Wel moet er ook dan altijd een grondslag/rechtsgrond zijn. Als u niet zeker weet of u de gegevens mag delen is het verstandig om contact op te nemen met een privacy-jurist.

Sluit overeenkomsten af

Ga ook na welke overeenkomsten u met externe partijen moeten sluiten. Met verwerkers moet u verwerkersovereenkomsten sluiten.

Is uw organisatie samen met een andere, externe partij verantwoordelijk dezelfde stroom gegevens? Bijvoorbeeld een gezamenlijke database? Dan bent u gezamenlijk verantwoordelijk en moet uw organisatie een overeenkomst met die partij sluiten.

Ook als uw organisatie de persoonsgegevens met een andere verantwoordelijke uitwisselt waarmee u niet de verantwoordelijkheid deelt, is het verstandig daar afspraken over te maken. Bijvoorbeeld door een clausule toe te voegen aan de overeenkomst die u met die partij hebt. 

Dat geldt ook voor het delen van de gegevens met groepsmaaschappijen voor intern beheer. Dat wordt meestal vastgelegd in een "datauitwisselingsovereenkomst".

Wilt u zo'n clausule of overeenkomst? Neem dan contact met ons op.

HOE CONTROLEERT U DOORGIFTE?

1

Inventariseer

Maak een lijst van alle leveranciers en andere externe partijen en personen die iets met de gegevens doen.

2

CHECK: BINNEN OF BUITEN EER?

Stel vast waar die partijen gevestigd zijn of waar ze de gegevens opslaan. Is dat buiten de EER? Noteer dat.

3

CHECK BESCHERMINGSNIVEAU

Ga na of er in het land een passend beschermingsniveau is. Kijk hiervoor in het Factsheet Dataexport.

4

NEEM MAATREGELEN

Is er geen passend beschermingsniveau? Is er ook geen specifieke uitzondering voor doorgifte (bekijk hiervoor het Factsheet Dataexport)? Zorg dan voor maatregelen, zoals het sluiten van een Contract voor Doorgifte.

HEEFT U VRAGEN?

Heeft u vragen over dit onderwerp? Neem contact op en vraag naar de mogelijkheden.

Developed by Structura. Powered by nopCommerce. Copyright 2018 Smith&Doe. Alle rechten voorbehouden.