DATAEXPORT

Afbeelding voor categorie DATAEXPORT


"DATAEXPORT"

De informatie in dit dossier is gebaseerd op de nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming. 

 

Wat is “dataexport”?

Dataexport is het bewust doorgeven van persoonsgegevens naar het grondgebied van een ander land dan Nederland.

Veel voorkomende voorbeelden van dataexport zijn:

• Het opslaan van gegevens bij een cloudserviceprovider op een server die zich niet in Nederland bevindt;

• Het doorgeven van een database met gegevens naar een moeder- of zustermaatschappij die zich in een ander land bevindt;

• Het uitbesteden van handelingen met gegevens aan een externe partij (“bewerker”) die zich niet in Nederland bevindt, bijvoorbeeld bij outsourcing;

• Het doorgeven van gegevens van een consument aan een andere partij in het buitenland voor het verwerken van een transactie. 

Doorgeven binnen de EER mag wel

Persoonsgegevens mogen wel vrijelijk naar de landen van de Europese Economische Ruimte (de “EER”) worden doorgegeven. 

De EER bestaat uit de landen van de EU, Liechtenstein, Noorwegen en IJsland. Voor de meest recente lijst van landen van de EU. 

Exportverbod voor buiten de EER

Als uitgangspunt geldt een verbod om persoonsgegevens door te geven vanuit een land binnen de EER naar een land daarbuiten waar geen “passend beschermingsniveau” voor privacy is. 

Wat is een “passend beschermingsniveau”?

Als verantwoordelijke moet uw organisatie zelf beoordelen of er in het land waar de gegevens naar worden doorgegeven een “passend beschermingsniveau” is. Dat is niet eenvoudig na te gaan. Van sommige landen staat vast dat er een passend beschermingsniveau is, deze noemen we hieronder. 

Voor het doorsturen van gegevens naar andere landen buiten de Europese Economische Ruimte kunt u het beste aannemen dat die landen niet een “passend beschermingsniveau” hebben. Er moet dan worden gekeken of de doorgifte mogelijk is op basis van één van de hieronder omschreven uitzonderingen. 

Landen met een passend beschermingsniveau

Van de volgende landen is vastgesteld dat daar een “passend beschermingsniveau” voor de privacywet is:

• Andorra 

• Argentinië 

• Canada 

• de Faeröer Eilanden 

• Guernsey 

• Israël 

• Isle of Man 

• Jersey 

• Nieuw Zeeland 

• Uruguay 

• Zwitserland

Voor de meest recente lijst, klik hier. 

Voor deze landen heeft de Europese Commissie in zogenaamde “adequaatheidsbesluit” vastgesteld dat er een passend beschermingsniveau is. 

Let op: De gegevens mogen ook worden doorgegeven naar Canada maar alleen als het gaat om gegevens die elektronische worden verwerkt en die onder de Canadese wet "PIPEDA" (Canadian Personal Information Protection and Electronic Documents Act) vallen. Wilt u de gegevens doorgeven naar Canada en weten of de gegevens onder de PIPEDA wet vallen, neem dan contact op met een jurist (vraag naar de mogelijkheden). 

Voor de Verenigde Staten geldt het “Privacy Shield”

In de Verenigde Staten geldt voor het land als geheel geen passend beschermingsniveau. 

Maar, als een in de Verenigde Staten gevestigde partij die persoonsgegevens uit de Europese Unie wil ontvangen, gecertificeerd is onder “Privacy Shield” dan mogen de persoonsgegevens wel naar die partij worden doorgegeven. 

U kunt op de officiële website van Privacy Shield meer informatie vinden: www.Privacyshield.gov. Op de website staat ook een lijst met partijen die gecertificeerd zijn onder Privacy Shield en waar de persoonsgegevens naar kunnen worden doorgegeven. 

Hoewel niet alle Europese privacy-toezichthouders het eens zijn met de voorwaarden van Privacy Shield, biedt het momenteel wel een basis voor doorgifte naar de Verenigde Staten. 

Als de persoonsgegevens niet worden doorgegeven zoals hiervoor is aangegeven, dan moet worden gekeken of er andere uitzonderingen gelden op basis waarvan de persoonsgegevens wel kunnen worden doorgegeven naar buiten de EER. 

Wanneer wordt voldaan aan deze uitzonderingen, wordt daarmee aangenomen dat er sprake is van “passende waarborgen” om te zorgen voor voldoende bescherming van de persoonsgegevens. 

Uitzondering 1: “Binding Corporate Rules”

"Binding Corporate Rules" ("BCRs") bestaan uit een intern privacyframework binnen een groep ondernemingen die wereldwijd vestigingen hebben (multinationals). 

Persoonsgegevens mogen tussen ondernemingen binnen één groep die zich aan de BCR’s houden worden doorgegeven. 

Uitzondering 2: Modelcontract van de Europese Commissie

De gegevens mogen naar het land worden doorgegeven op basis van een zogenaamd "modelcontract" dat is opgesteld door de Europese Commissie. 

Deze modelcontracten zijn aan de hoogste Europese rechter voorgelegd ter toetsing maar zijn op de datum van publicatie van dit factsheet nog wel geldig. Het is dus verstandig er rekening mee te houden dat ook de modelcontracten op termijn geen geldige grond voor doorgifte bieden. 

Er zijn in feite twee soorten modelcontracten: 

• Verantwoordelijke - verantwoordelijke: dit is een modelcontract tussen een verantwoordelijke binnen de EER en een andere verantwoordelijke in het land buiten de EER. 

• Verantwoordelijke - bewerker: dit is een modelcontract tussen een verantwoordelijke binnen de EER en een bewerker in het land buiten de EER. 

Let op: op dit moment gelden de modelcontracten dus niet voor bewerkers die in de EER zijn gevestigd en de gegevens doorgeven naar een buiten de EER gevestigde (sub)bewerker, bijvoorbeeld een zustermaatschappij. 

Bijvoorbeeld: u laat uw website hosten bij een Nederlandse hosting partij, deze partij maakt gebruik van de cloudopslagdiensten van Microsoft Nederland. Microsoft Nederland geeft de gegevens door aan haar zustermaatschappij in India. Het modelcontract moet dan dus worden gesloten tussen uw organisatie en de Microsoft zustermaatschappij in India. 

Op de website van Smith&Doe kunt u de toepasselijke modelcontracten bestellen.

Uitzondering 3: Modelcontract van de Autoriteit Persoonsgegevens

Met de AVG komt er ook een mogelijkheid voor de toezichthouders, in Nederland de Autoriteit Persoonsgegevens (“AP”), om modelcontracten op te stellen op basis waarvan de persoonsgegevens kunnen worden doorgegeven tussen de contractpartijen. Op het moment van het publiceren van dit factsheet zijn er nog geen modelcontractbepalingen van de AP bekend. 

Uitzondering 4: door de AP goedgekeurde overeenkomst

In de AVG staat ook een mogelijkheid om persoonsgegevens door te geven op basis van een zelf opgesteld contract. De AP moet dan wel dat contract goedkeuren voordat de persoonsgegevens kunnen worden doorgegeven.

Uitzondering 5: Gedragscode

De AVG introduceert ook de mogelijkheid om persoonsgegevens door te geven naar een partij die is aangesloten bij een door de AP goedgekeurde gedragscode. Die partij moet daarnaast de bindende en afdwingbare toezegging doen de verplichtingen uit de gedragscode na te zullen leven. Op het moment van publicatie van deze tekst zijn er geen goedgekeurde gedragscodes in Nederland bekend.  

Uitzondering 6: Certificering

De AVG introduceert ook de mogelijkheid om persoonsgegevens door te geven naar een partij die een door de AP goedgekeurde privacy-certificering heeft. Die partij moet daarnaast de bindende en afdwingbare toezegging doen de verplichtingen uit de certificering na te zullen leven. Op het moment van publicatie van deze tekst zijn er geen goedgekeurde certificeringen in Nederland bekend. 

Als er geen sprake is van een van de hiervoor genoemde “passende waarborgen” dan kan, voor specifieke situaties doorgifte plaatsvinden in de volgende gevallen: 

Uitzondering 7: Uitdrukkelijke toestemming 

Als de persoon wiens gegevens worden doorgegeven uitdrukkelijke toestemming geeft specifiek voor het doorgeven van zijn of haar gegevens naar het betreffende land, dan mogen die gegevens daarnaar worden doorgegeven. 

Voordat de persoon toestemming geeft, moet hij of zij worden ingelicht over de risico’s die de doorgifte naar het land met zich meebrengt, gezien het feit dat er in dat land geen passend beschermingsniveau is en er ook geen maatregelen zijn genomen om voor een passend beschermingsniveau te zorgen.

Kijk in ons factsheet grondslagen voor de andere eisen om geldige toestemming te krijgen. 

Maar let op: Als het gaat om grote aantallen gegevens die worden doorgegeven dan kan het onpraktisch zijn om de doorgifte te baseren op toestemming. Iedere persoon kan namelijk een eenmaal gegeven toestemming weer intrekken. Voor die personen moet dan dus een andere uitzondering worden gevonden om de gegevens naar buiten de EER door te geven. 

Uitzondering 8: Noodzakelijk voor het aangaan of uitvoeren van een overeenkomst 

Als de gegevens moeten worden doorgegeven naar het andere land: 

• ofwel omdat het noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst met de persoon, 

• ofwel omdat het noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst ten behoeve van de persoon, 

dan mogen die gegevens uitsluitend dáárvoor naar het andere land worden doorgegeven. 

Het gaat hier om individuele overeenkomsten die niet aangegaan of uitgevoerd kunnen worden als de gegevens niet naar het land worden doorgegeven. 

Een veel voorkomend voorbeeld is het moeten doorgeven van NAW-gegevens aan een hotel in een ander land zodat de boeking van een reiziger kan worden verwerkt. Een ander voorbeeld is het naar een in een land buiten de EER gevestigde vliegtuigmaatschappij doorgeven van de gegevens van vliegtuigpassagiers ten behoeve van de boeking en uitvoering van de vliegreis. 

Let op: op deze uitzondering kan alleen een beroep worden gedaan als de gegevens echt moeten worden doorgegeven voor het aangaan of uitvoeren van de overeenkomst met de betrokken persoon. Daar zal geen sprake van zijn bij een structurele doorgifte van grote hoeveelheden aan hetzelfde derde land, zoals bijvoorbeeld bij cloud hosting of outsourcing. 

Uitzondering 9: Maatschappelijk belang

Als het echt nodig is om de gegevens naar het land door te geven voor een bepaald belangrijk maatschappelijk belang, dan mogen ze dáárvoor daar naar worden doorgegeven. Het zal hier niet gaan om grote aantallen gegevens maar om incidentele situaties. 

Uitzondering 10: Voor rechtsvordering

Als het echt nodig is om in een bepaald geval specifieke persoonsgegevens naar een ander land door te geven voor het instellen, uitoefenen of onderbouwen van een rechtsvordering (een juridische procedure), dan mogen die gegevens voor dat doel worden doorgegeven. 

Uitzondering 11: Gezondheid betrokken persoon of een ander

Als het noodzakelijk is om gegevens over een persoon door te geven naar een land buiten de EER omdat de gezondheid van de persoon of een andere persoon anders in gevaar komt, of er sprake is van een levensbedreigende situatie, en de betrokken persoon kan niet toestemming geven, dan mogen de gegevens dáárvoor naar dat land worden doorgegeven. 

Let op: Het zal hier gaan om slechts incidentele gevallen, niet om structurele doorgifte van gegevens. 

Uitzondering 12: Bij wet ingesteld register

Als het gaat om een publiek register dat bij wet is ingesteld, waar iedereen of iedere persoon met een “gerechtvaardigd belang” in mag kijken – eventueel onder nadere gestelde voorwaarden. 

Denk aan het handelsregister van de Kamer van Koophandel en het kadaster. 

Uitzondering 13: Bijzondere omstandigheden 

Als aan iedere van de volgende voorwaarden is voldaan mag ook doorgifte naar het betreffende land buiten de EER plaatsvinden: 

• de doorgifte is niet repetitief – het moet dus incidenteel zijn; 

• het gaat maar om een beperkt aantal betrokken personen; 

• de doorgifte is noodzakelijk voor de dwingende gerechtvaardigde belangen van de verantwoordelijke die ze doorgeeft en de rechten van de betrokken persoon gaan niet voor; 

• de verantwoordelijke heeft alle relevante omstandigheden in verband met de doorgifte beoordeeld;

• op basis van die beoordeling heeft de verantwoordelijke passende waarborgen getroffen; 

• de Autoriteit Persoonsgegevens wordt over de doorgifte geïnformeerd; 

• de betrokken personen worden geïnformeerd over de doorgifte en over de door de verantwoordelijke nagestreefde “dwingende gerechtvaardigde belangen”. 

Uitzondering 14: Overheidsinstanties of -organen 

Verder kan uitwisseling tussen overheidsinstanties of -organen plaatsvinden op basis van een juridisch afdwingbare instrument (algemene doorgifte afspraken) tussen overheidsinstanties of -organen of specifieke afspraken die door de AP worden goedgekeurd.

 

INFORMATIE IN PRIVACY-VERKLARING 

Als er persoonsgegevens worden doorgegeven naar buiten de EER, dan moet de volgende informatie daarover worden opgenomen in de privacyverklaring (artikel 13 lid 1 sub f en artikel 14 lid 1 sub f AVG): 

• dat de verantwoordelijke de persoonsgegevens doorgeeft naar buiten de EER; 

• of er over het betreffende land is bepaald dat daar een passend beschermingsniveau is – zie hiervoor bij “Landen met een passend beschermingsniveau” (of daar een “adequaatheidsbesluit” voor is gegeven); 

• als er sprake is van één van de hierna de volgende uitzonderingen (“passende waarborgen voor doorgifte”), doorgifte: 

o op basis van BCR’s (uitzondering 1); 

o op basis van een modelcontract van de Europese Commissie (uitzondering 2); 

o op basis van een modelcontract van de AP (uitzondering 3); 

o op basis van een door de AP goedgekeurde overeenkomst (uitzondering 4); 

o op basis van een gedragscode (uitzondering 5); 

o op basis van een certificering (uitzondering 6); 

o door overheidsinstanties of -organen (uitzondering 14); 

o op basis van de bijzondere omstandigheden (uitzondering 13); 

dan moet worden uitgelegd wat de betreffende passende waarborgen (dus: de relevante, hiervoor genoemde uitzondering) zijn, hoe daar een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.

_______________

U kunt deze informatie ook downloaden als Factsheet.