Internationale gegevensuitwisseling (doorgifte)

De kans is groot dat er binnen uw organisatie internationale uitwisseling van persoonsgegevens plaatsvindt. Misschien maakt uw onderneming deel uit van een internationaal concern en is er een database met klantgegevens waar alle vestigingen toegang toe hebben, of is de HR-afdeling van alle vestigingen centraal geregeld in een ander land. Ook als uw onderneming geen internationaal karakter heeft, kan het zijn dat u (zonder dat u zich dat realiseert) te maken hebt met uitwisseling van persoonsgegevens met een ander land. Als u bijvoorbeeld in de cloud werkt, zouden de servers waar de gegevens worden opgeslagen wel eens in het buitenland kunnen staan. Of maakt u wellicht gebruik van een buitenlandse helpdesk die toegang heeft tot al uw bestanden? In al deze gevallen is sprake van internationale gegevensuitwisseling, ook wel ‘doorgifte’ genoemd.

Doorgifte van persoonsgegevens is alleen toegestaan als het betreffende land een zogenoemd ‘passend beschermingsniveau’ heeft. Bij EU-landen is dat geen probleem, omdat met de nieuwe Algemene Verordening Gegevensbescherming (General Data Protection Regulation), en daarvoor ook al met de oude Richtlijn Bescherming Persoonsgegevens, alle EU-landen hetzelfde beschermingsniveau hebben. Buiten de EU mag doorgifte dus alleen naar een land met een passend beschermingsniveau (de Europese Commissie houdt een lijst bij van die landen), behoudens uitzonderingen. Het is bijvoorbeeld mogelijk om gebruik te maken van een modelcontract met een onderneming die gevestigd is in een ‘onveilig’ land.

Meer informatie

Twijfelt u of er binnen uw organisatie sprake is van doorgifte van persoonsgegevens naar het buitenland, of vraagt u zich af of de doorgifte is toegestaan? Neem dan contact op met het Privacyrechtteam van Valegis Advocaten.