Deze website gebruikt cookies

We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.

Onze privacyverklaring:

Blogs / 

Datadoorgiften aan derde landen: nieuwe richtlijnen

IT, Privacy & Cybersecurity

31 augustus 2018

Geschreven door

Jeroen van Helden

Blog Image
Het Europees Comité voor gegevensbescherming heeft tijdens haar eerste sessie op 25 mei 2018 twee nieuwe richtlijnen aangenomen.

Een van die richtlijnen gaat over de doorgifte van persoonsgegevens vanuit de Europese Unie naar landen daarbuiten. Met behulp van de richtlijnen kan beter worden beoordeeld of een doorgifte is toegestaan in een ‘specifieke situatie’ zoals bedoeld in artikel 49 AVG.

De AVG kent een streng regime voor de doorgifte van persoonsgegevens vanuit de EU naar landen daarbuiten. Daarmee heeft de Europese wetgever willen voorkomen dat de effectiviteit van de rechtsbescherming die de AVG aan Europese burgers biedt, eenvoudig zou kunnen worden omzeild door persoonsgegevens buiten de Europese Unie op te slaan en te verwerken.

Dit regime kent een ‘getrapte’ systematiek. Biedt een derde land naar het oordeel van de Europese Commissie een passend beschermingsniveau, dan mogen persoonsgegevens zonder meer worden doorgegeven aan die landen. Zo niet, dan zijn passende waarborgen nodig. Een overeenkomst tussen overheidsinstanties kan een passende waarborg zijn, maar ook bijvoorbeeld de door de Europese Commissie vastgestelde standaardcontractbepalingen kunnen dit zijn. Is ook geen sprake van passende waarborgen, dan komt men uit bij de specifieke situaties van artikel 49 AVG.

Nu is artikel 49 AVG een vrij onduidelijk geschreven artikel. Richtlijnen voor de uitleg daarvan zijn dus zeer welkom.

Het Comité bevestigt in de richtlijnen allereerst deze getrapte systematiek. Artikel 49, zo maakt het Comité duidelijk, is echt bedoeld als een uitzondering op de regel dat voor doorgifte van persoonsgegevens aan derde landen een passend beschermingsniveau of passende waarborgen nodig zijn. De specifieke uitzonderingen moeten daarom restrictief worden uitgelegd.

Voorts verheldert het Comité dat een doorgifte die noodzakelijk is voor de uitvoering van een overeenkomst (sub b en c) of voor een rechtsvordering (sub e), alleen is toegestaan voor zover die doorgifte ‘incidenteel’ is. Dat staat weliswaar niet met zoveel woorden in artikel 49 AVG, maar volgt volgens het Comité wel uit een van de rechtsoverwegingen bij de AVG.

Tot slot benadrukt het Comité dat de uitzondering genoemd in de tweede alinea van lid 1 een laatste redmiddel is, dat pas in beeld mag komen nadat alle andere specifieke situaties de revue zijn gepasseerd en ontoereikend zijn gebleken. De verwerkingsverantwoordelijke moet dan ook kunnen aantonen dat hij geprobeerd heeft om de doorgifte te baseren op een van de hoofdregels of op een van de andere specifieke uitzonderingen van art. 49 AVG. Pas als dat allemaal niet lukt, mag de doorgifte eventueel op deze restgrond worden gebaseerd.

Vragen?

Heeft u nog vragen, neemt u dan contact op met Jeroen van Helden, Advocaat IT, Privacy & Cybersecurity