2.7 Waaraan moet ik denken bij de doorgifte van data naar andere landen of internationale organisaties?

De AVG zorgt voor een uniformisering van het privacybeleid binnen de EU waardoor er vrij verkeer van persoonsgegevens binnen de EER (28 EU lidstaten + Noorwegen, IJsland, Liechtenstein) mogelijk is.

Doorgifte van persoonsgegevens naar landen buiten de EER of internationale organisaties is enkel toegestaan indien het land of de organisatie in kwestie een “passend beschermingsniveau” kan garanderen voor de verwerking van persoonsgegevens.

De Europese Commissie gaf aan een aantal landen reeds een adequaatheidsbelsuit waarmee bevestigd wordt dat het land een passend beschermingsniveau kent. De meeste recente lijst met landen is hier [link toevoegen] terug te vinden. Voor de Verenigde Staten in het algemeen geldt geen passend beschermingsniveau. De EU-US Privacy Shield wordt door de Commissie echter wel erkend als adequaat waardoor persoonsgegevens wel doorgegeven mogen worden naar organisaties en bedrijven die gecertificeerd zijn onder de Privacy Shield.

Indien een land niet op de lijst met adequaatheidsbesluiten staat, zijn er nog een aantal andere mogelijkheden om de doorgifte van data te regelen:

• Het gebruik van standaardbepalingen in een overeenkomst/contract tussen de eigen instelling en de ontvangende instelling (zie ook 2.8)
• Het expliciet vragen van toestemming aan de betrokkenen voor de incidentele doorgifte van data. Hierbij moet aan de betrokkenen ook gemeld worden welke risico’s deze doorgifte eventueel voor hem kunnen inhouden.

Het is hierbij belangrijk om zelf een inschatting te maken van de mogelijke risico’s voor de betrokkenen rekening houdend met enerzijds de aard van de persoonsgegevens, en anderzijds de geboden waarborgen van de betreffende organisatie en de privacywetgeving die bestaat in het betreffende land.