AVG: mogen persoonsgegevens nog buiten de EU worden opgeslagen? (18/20)

Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Deze wet is de strengste ter wereld waar het gaat om de bescherming van persoonsgegevens. Een belangrijke randvoorwaarde uit deze wet is dat persoonsgegevens alleen nog mogen worden gebruikt of opgeslagen in landen die net zo veilig zijn als de Europese Unie zelf voorschrijft. Dat maakt werken in veel landen erg lastig – met name in de Verenigde Staten.

De AVG geldt in de gehele Europese Unie, plus in Noorwegen, Liechtenstein en IJsland – samen de Europese Economische Ruimte of EER geheten. Werk je met bedrijven of instellingen in die landen, dan is er dus niets aan de hand. Maar ga je buiten de EER, dan moet je nagaan of deze landen veilig zijn voordat je überhaupt met deze bedrijven in zee gaat.

Op dit moment zijn als veilige landen aangemerkt: Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten en Zwitserland. Het is nog niet duidelijk of het Verenigd Koninkrijk na de Brexit nog binnen de EER gerekend wordt, of dat er een aparte erkenning moet plaatsvinden. Dat laatste kan wel even duren, dus een voorzichtig Europees bedrijf zou niet snel meer persoonsgegevens in Engeland laten verwerken.

Specifiek bij de Verenigde Staten geldt nog wel dat de betrokken organisatie aan het Privacy Shield moet voldoen. Dit is een regeling tussen de VS en de EU, waarmee deze organisatie verklaart de Europese regels na te zullen leven en de VS aangeeft niet zomaar naar Amerikaans recht toegang te verlangen tot hun gegevens. Deze regeling wordt door juristen als twijfelachtig gezien, omdat “nationale veiligheid” wél een grond is voor toegang en niet duidelijk is wanneer deze ingeroepen kan worden.

Vanwege zorgen over het Privacy Shield zien we steeds vaker dat bedrijven liever zakendoen met een Europese dochter van een Amerikaans bedrijf, zoals de dochters van Amazon of Microsoft in Ierland en België. Deze bedrijven vallen gewoon onder de AVG. Een punt van zorg hierbij is dan weer of de Amerikaanse autoriteiten de moedermaatschappijen kunnen verplichten de gegevens van deze dochterbedrijven op te gaan halen. Deze vraag ligt nu bij de US Supreme Court en een positief antwoord zou ook deze constructie de nek om draaien.

Werk je in andere landen, bijvoorbeeld een uitbestede klantenservice in India, dan moet je zelf maatregelen nemen. De meest voor de hand liggende oplossing is gebruik te maken van de zogeheten EU Model Clauses, waarmee je een contract opstelt dat de strenge Europese regels oplegt aan deze wederpartij. Gaat het om een buitenlands onderdeel van uw concern, dan kun je ook werken met bindende bedrijfsvoorschriften (binding corporate rules) die zijn goedgekeurd door de toezichthouder.

Natuurlijk moet je met zo’n buitenlandse partij nog steeds een verwerkersovereenkomst sluiten, zoals we in deel 10 zagen. Dat hoeft niet als de buitenlandse partij geen verwerker is, maar in dat geval moet je wel nagaan of je de persoonsgegevens wel mag verstrekken aan deze partij. Dat een land veilig is, betekent nog niet dat iedere organisatie in dat land die gegevens zomaar mag ontvangen. Ook dan gelden nog gewoon alle regels uit de AVG, zodat ook bij die organisatie de persoonsgegevens zo veilig mogelijk behandeld worden.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.