Doorgeven persoonsgegevens aan niet EU-landen
Het doorgeven van persoonsgegevens aan niet EU-landen is op grond van de AVG alleen toegestaan als 1) met het betreffende land een verdrag is gesloten om een passend beschermingsniveau te kunnen waarborgen of als 2) afspraken zijn vastgelegd in een standaardcontractbepaling (Standard Contractual Clauses, SSC's). Voor deze laatste heeft de Europese Commissie een nieuw modelcontract goedgekeurd.
Aanleiding voor het vernieuwde modelcontract is de uitspraak van het Hof van Justitie van de Europese Unie van juli 2020 in de zaak Schrems II. In deze zaak verklaarde de rechter het verdrag tussen de EU en de VS, op grond waarvan persoonsgegevens vanuit de EU mochten worden doorgegeven aan de VS (het Privacy Shield), ongeldig. Dit omdat bleek dat de bescherming van persoonsgegevens in de VS ernstig tekortschoot. Doorgifte van persoonsgegevens aan de VS kan nu alleen nog op basis van standaardcontractbepalingen, zoals het vernieuwde modelcontract. Het gebruik van een modelcontract vereist tegelijkertijd aanvullende maatregelen om de persoonsgegevens te beschermen (bijv. encriptie).
De Europese Commissie is nog in onderhandeling met de VS om nieuwe afspraken te maken, vergelijkbaar met het Privacy Shield. De Autoriteit Persoonsgegevens wijst op het belang dat een bedrijf voldoende maatregelen treft om de veiligheid van het doorgeven van persoonsgegevens te waarborgen. Bij enige twijfel hierover adviseert de toezichthouder geen persoonsgegevens door te geven aan een niet EU-land.
Wil je meer weten over de zaak Schrems II en de gevolgen daarvan? Op 15 juli organiseert DPO Consultancy (waarmee we eerder het webinar ‘Privacyproof werken’ organiseerden) een gratis webinar hierover, om 13u en om 17u. Het webinar wordt in het Engels gehouden, je kunt je hier aanmelden.