Het komt voor dat een organisatie persoonsgegevens doorgeeft naar een ander land. Dit gebeurd bijvoorbeeld als de organisatie gebruik maakt van een server die in een ander land gevestigd is. Het doorgeven van persoonsgegevens is volgens de Algemene verordening gegevensbescherming alleen toegestaan binnen de Europese Economische Ruimte (EER) of naar landen die een passend beschermingsniveau bieden. In deze blog gaan we kijken naar doorgifte buiten de EU, want mag dit wel? Lees hier meer.

Persoonsgegevens

Persoonsgegevens in het algemeen is een breed begrip. In het kort zijn persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, gelet op artikel 4 lid 1 van de Algemene verordening gegevensbescherming (hierna AVG genoemd). Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Er zijn veel soorten persoonsgegevens. Voor de hand liggende persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar persoonsgegevens zijn bijvoorbeeld ook wat iemand op internet koopt.

Let er wel op dat de AVG een Europese wetgeving is, en dat deze privacywetgeving van toepassing is op alle landen binnen de Europese Economische Ruimte. Landen buiten de Europese Economische Ruimte (ook wel derde landen genoemd) hebben hun eigen wetgeving omtrent persoonsgegevens en de bescherming hiervan.

Verwerking van persoonsgegevens

Wegens de gevoeligheid van persoonsgegevens en de wijze waarop ze gebruikt kunnen worden, zijn er enkele voorwaarden en regels omtrent het verwerken van persoonsgegevens in het algemeen. Enkele van de belangrijkste principes van de AVG omvatten:

  • Toestemming: Organisaties moeten expliciete toestemming verkrijgen van individuen voordat ze hun persoonsgegevens verwerken. Deze toestemming moet vrijwillig, specifiek en geïnformeerd zijn.
  • Doelbinding: Persoonsgegevens mogen alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Ze mogen niet verder worden verwerkt op een manier die niet overeenkomt met deze doelen.
  • Dataminimalisatie: Organisaties moeten ervoor zorgen dat ze alleen die persoonsgegevens verzamelen die strikt noodzakelijk zijn voor het beoogde doel.
  • Rechten van betrokkenen: Individuen hebben het recht om hun persoonsgegevens in te zien, te corrigeren, te laten verwijderen en bezwaar te maken tegen de verwerking ervan.
  • Meldplicht bij datalekken: Organisaties moeten eventuele datalekken melden aan de toezichthoudende autoriteiten en, in sommige gevallen, aan de betrokkenen.

Doorgeven van persoonsgegevens buiten de EU

In de algemene zin mogen persoonsgegevens met andere landen gedeeld worden. De belangrijkste regel is dat persoonsgegevens alleen doorgegeven worden naar derde landen die een passend beschermingsniveau hebben. Heeft een derde land geen passend beschermingsniveau? Dan mag doorgifte alleen op grond van een van de wettelijke bepalingen afkomstig uit Hoofdstuk 5 van de AVG. Het is in 3 gevallen mogelijk om persoonsgegevens door te geven naar een derde land. Namelijk op basis van:

  • Een adequaatheidsbesluit;
  • Passende waarborgen, zoals een modelcontract, een gedragscode, certificering of ‘binding corporate rules’ (BCR);
  • Specifieke uitzonderingen.

Biedt een derde land een passend niveau van gegevensbescherming in de nationale wetgeving? Dan kan de Europese Commissie een adequaatheidsbesluit nemen, gelet op artikel 45 van de AVG. De Europese Commissie stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG.

Zo’n besluit kan de EC over een heel land nemen, maar ook over een bepaalde sector binnen een land. Bijvoorbeeld Canada, waar het adequaatheidsbesluit alleen geldt voor commerciële bedrijven.

De Europese Commissie heeft een overzicht beschikbaar gesteld op haar website waarin alle adequate landen waar gegevens aan doorgegeven mogen worden opgenomen zijn. Indien gegevens doorgegeven worden aan landen die niet opgenomen zijn in dit overzicht dient aanvullende zorgvuldigheid genomen te worden en mag enkel geschieden onder strikte wettelijke voorwaarden.

De Autoriteit Persoonsgegevens

Persoonsgegevens worden nauw gereguleerd waarbij het verwerken van persoonsgegevens ook nauw gecontroleerd wordt. Heb je het gevoel dat een organisatie niet verantwoordelijk met jouw persoonsgegevens omgaat? Dan kun je in Nederland contact opnemen met de Autoriteit Persoonsgegevens, dit is de organisatie in Nederland die verantwoordelijk is voor de controle van de verwerking van persoonsgegevens en dat organisaties de privacywetgeving naleven. Een klacht over de verwering van jou persoonsgegevens kun je hier op de website van de Nederlandse Autoriteit Persoonsgegevens indienen.

Blijf up-to-date over nieuws en andere interessante informatie!

Bij Juristenblog.nl proberen we je zo adequaat mogelijk te informeren over veel aspecten van de privacywetgeving. Vond je deze blog interessant? Houd dan ook zeker onze andere blogartikelen in de gaten!

Het komt voor dat een organisatie persoonsgegevens doorgeeft naar een ander land. Dit gebeurd bijvoorbeeld als de organisatie gebruik maakt van een server die in een ander land gevestigd is. Het doorgeven van persoonsgegevens is volgens de Algemene verordening gegevensbescherming alleen toegestaan binnen de Europese Economische Ruimte (EER) of naar landen die een passend beschermingsniveau bieden. In deze blog gaan we kijken naar doorgifte buiten de EU, want mag dit wel? Lees hier meer.

Persoonsgegevens

Persoonsgegevens in het algemeen is een breed begrip. In het kort zijn persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, gelet op artikel 4 lid 1 van de Algemene verordening gegevensbescherming (hierna AVG genoemd). Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Er zijn veel soorten persoonsgegevens. Voor de hand liggende persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar persoonsgegevens zijn bijvoorbeeld ook wat iemand op internet koopt.

Let er wel op dat de AVG een Europese wetgeving is, en dat deze privacywetgeving van toepassing is op alle landen binnen de Europese Economische Ruimte. Landen buiten de Europese Economische Ruimte (ook wel derde landen genoemd) hebben hun eigen wetgeving omtrent persoonsgegevens en de bescherming hiervan.

Verwerking van persoonsgegevens

Wegens de gevoeligheid van persoonsgegevens en de wijze waarop ze gebruikt kunnen worden, zijn er enkele voorwaarden en regels omtrent het verwerken van persoonsgegevens in het algemeen. Enkele van de belangrijkste principes van de AVG omvatten:

  • Toestemming: Organisaties moeten expliciete toestemming verkrijgen van individuen voordat ze hun persoonsgegevens verwerken. Deze toestemming moet vrijwillig, specifiek en geïnformeerd zijn.
  • Doelbinding: Persoonsgegevens mogen alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Ze mogen niet verder worden verwerkt op een manier die niet overeenkomt met deze doelen.
  • Dataminimalisatie: Organisaties moeten ervoor zorgen dat ze alleen die persoonsgegevens verzamelen die strikt noodzakelijk zijn voor het beoogde doel.
  • Rechten van betrokkenen: Individuen hebben het recht om hun persoonsgegevens in te zien, te corrigeren, te laten verwijderen en bezwaar te maken tegen de verwerking ervan.
  • Meldplicht bij datalekken: Organisaties moeten eventuele datalekken melden aan de toezichthoudende autoriteiten en, in sommige gevallen, aan de betrokkenen.

Doorgeven van persoonsgegevens buiten de EU

In de algemene zin mogen persoonsgegevens met andere landen gedeeld worden. De belangrijkste regel is dat persoonsgegevens alleen doorgegeven worden naar derde landen die een passend beschermingsniveau hebben. Heeft een derde land geen passend beschermingsniveau? Dan mag doorgifte alleen op grond van een van de wettelijke bepalingen afkomstig uit Hoofdstuk 5 van de AVG. Het is in 3 gevallen mogelijk om persoonsgegevens door te geven naar een derde land. Namelijk op basis van:

  • Een adequaatheidsbesluit;
  • Passende waarborgen, zoals een modelcontract, een gedragscode, certificering of ‘binding corporate rules’ (BCR);
  • Specifieke uitzonderingen.

Biedt een derde land een passend niveau van gegevensbescherming in de nationale wetgeving? Dan kan de Europese Commissie een adequaatheidsbesluit nemen, gelet op artikel 45 van de AVG. De Europese Commissie stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG.

Zo’n besluit kan de EC over een heel land nemen, maar ook over een bepaalde sector binnen een land. Bijvoorbeeld Canada, waar het adequaatheidsbesluit alleen geldt voor commerciële bedrijven.

De Europese Commissie heeft een overzicht beschikbaar gesteld op haar website waarin alle adequate landen waar gegevens aan doorgegeven mogen worden opgenomen zijn. Indien gegevens doorgegeven worden aan landen die niet opgenomen zijn in dit overzicht dient aanvullende zorgvuldigheid genomen te worden en mag enkel geschieden onder strikte wettelijke voorwaarden.

De Autoriteit Persoonsgegevens

Persoonsgegevens worden nauw gereguleerd waarbij het verwerken van persoonsgegevens ook nauw gecontroleerd wordt. Heb je het gevoel dat een organisatie niet verantwoordelijk met jouw persoonsgegevens omgaat? Dan kun je in Nederland contact opnemen met de Autoriteit Persoonsgegevens, dit is de organisatie in Nederland die verantwoordelijk is voor de controle van de verwerking van persoonsgegevens en dat organisaties de privacywetgeving naleven. Een klacht over de verwering van jou persoonsgegevens kun je hier op de website van de Nederlandse Autoriteit Persoonsgegevens indienen.

Blijf up-to-date over nieuws en andere interessante informatie!

Bij Juristenblog.nl proberen we je zo adequaat mogelijk te informeren over veel aspecten van de privacywetgeving. Vond je deze blog interessant? Houd dan ook zeker onze andere blogartikelen in de gaten!

Over Juristenblog.nl

Het team van Juristenblog.nl bestaat uit ervaren juristen. Wekelijks wordt onderzoek gedaan naar interessante onderwerpen waarover geschreven kan worden. Vervolgens schrijft de jurist met de meeste kennis van het onderwerp de betreffende blog. Op deze manier blijft ons concept up-to-date en relevant.

Schrijf je in & Blijf op de hoogte

Laat hieronder je e-mailadres achter en ontvang elke maandagochtend een overzicht van de meest recente berichten die op juristenblog.nl zijn verschenen.

We spammen niet. Je kunt je op ieder moment uitschrijven.