Lees verder
Blog

Privacy & het voorkomen van boetes voor internationale doorgifte van persoonsgegevens?

Leestijd 3 minuten

Op 22 juli jl. heeft de Autoriteit Persoonsgegevens (AP) een recordboete van € 290.000.000 opgelegd aan Uber (haar Nederlandse dochtervennootschap en een Amerikaans onderdeel van het concern[1]). De boete is opgelegd omdat Uber in het verleden de regels uit de Algemene verordening gegevensbescherming (AVG) heeft geschonden die zien op de internationale doorgifte van persoonsgegevens naar de Verenigde Staten (VS). In deze blog lees je wat je moet doen om (record)boetes zoals die opgelegd aan Uber te voorkomen wanneer jouw organisatie persoonsgegevens doorgeeft aan organisaties in derde landen.

Wanneer is sprake van internationale doorgifte van persoonsgegevens?

Dit is bijvoorbeeld het geval wanneer jouw organisatie clouddiensten afneemt van een derde partij gevestigd buiten de Europese Economische Ruimte (EER) en waarbij de door deze clouddiensten te verwerken persoonsgegevens buiten de EER worden opgeslagen.

Maar, zoals ook blijkt uit het boetebesluit van de AP van 22 juli jl., er kan ook sprake zijn van internationale doorgifte binnen een internationaal concern. Heeft jouw Nederlandse organisatie een moedervennootschap in de VS? En worden bijvoorbeeld HR-gegevens van het in Nederland werkzame personeel gedeeld met de moedervennootschap? Ook dan kan sprake zijn van internationale doorgifte van persoonsgegevens. 

Waarom is relevant waar persoonsgegevens worden verwerkt?

De AVG is van toepassing binnen de EER. In vergelijking met niet-Europese privacywetgeving biedt de AVG doorgaans een hoog beschermingsniveau voor persoonsgegevens. Als aan de (relatief strenge) algemene verplichtingen uit de AVG voldaan wordt, mogen persoonsgegevens binnen de EER dan ook vrij circuleren. Om te voorkomen dat het hoge beschermingsniveau voor persoonsgegevens onder de AVG wordt omzeild door de verwerking van persoonsgegevens buiten de EER te laten plaatsvinden, stelt de AVG aan de doorgifte (een verwerking) van persoonsgegevens naar organisaties buiten de EER nadere eisen.

Welke eisen stelt de AVG dan aan de internationale doorgifte van persoonsgegevens?

Onder de AVG mogen persoonsgegevens alleen worden doorgegeven aan organisaties in landen buiten de EER wanneer sprake is van een passend beschermingsniveau. Dit is bijvoorbeeld het geval wanneer de Europese Commissie voor (specifieke sectoren van) een land buiten de EER in een zogenaamd adequaatheidsbesluit heeft vastgelegd dat sprake is van een passend beschermingsniveau. Zo geldt op dit moment dat commerciële organisaties in de Verenigde Staten zichzelf kunnen aansluiten bij (certificeren voor) het EU-US Data Privacy Framework. Dit betekent dat persoonsgegevens door organisaties in de EER conform de AVG dus kunnen worden verstrekt aan Amerikaanse commerciële organisaties die zichzelf hebben gecertificeerd voor het EU-US Data Privacy Framework.

Deelt jouw organisatie persoonsgegevens met een organisatie (actief binnen een sector) in een land waarvoor geen adequaatheidsbesluit geldt? Dan moet op een andere manier gewaarborgd worden dat de te verwerken persoonsgegevens passend worden beschermd. Dit kan bijvoorbeeld door het treffen van onder de AVG voorgeschreven contractuele maatregelen.

(Record)boetes zoals die voor Uber voorkomen?

Met onze ruimschootse ervaring in het adviseren over de internationale doorgifte van persoonsgegevens helpen we jou(w organisatie) hier graag bij. Terwijl menig Europese organisatie (bewust dan wel onbewust) persoonsgegevens deelt met organisaties in landen buiten de EER, is gebleken dat het conform de AVG laten plaatsvinden van dergelijke internationale doorgifte namelijk helaas niet gemakkelijk is. Dat komt mede doordat technologische en buitenlandse politieke ontwikkelingen op het gebied van de verwerking en bescherming van persoonsgegevens elkaar in rap tempo opvolgen.

Heb je behoefte aan advies over dit onderwerp of ben je op zoek naar een sparringspartner? Neem dan snel contact op met mij of één van mijn andere collega’s gespecialiseerd in privacyrecht.

[1] Uber B.V. en Uber Technologies Inc. (gevestigd in San Francisco, Verenigde Staten).