We krijgen best wat vragen over dit onderwerp. Ondernemers willen weten of ze persoonsgegevens mogen opslaan buiten de Europese Unie.
Maar waarom zou je persoonsgegevens opslaan buiten de EU? Dat heeft er vooral mee te maken dat je soms gebruikmaakt van systemen, bijvoorbeeld een klantregistratie- of marketingsysteem waarvan de servers in de Verenigde Staten staan. Je hebt dan zelf helemaal niet door dat dit gebeurt. Maar het is wel je verantwoordelijkheid als ondernemer om hierop te letten.
Check waar de gegevens staan
Allereerst is het advies voor elke ondernemer: als je gebruikmaakt van een softwaresysteem, zoek dan uit waar de persoonsgegevens fysiek worden opgeslagen. Je kunt dit gewoon vragen aan je leverancier. Vaak bieden zij een keuzemogelijkheid: een server in Europa of een server buiten Europa.
Als je leverancier de persoonsgegevens opslaat buiten Europa, dan moet je je wel verder informeren. Als de mogelijkheid bestaat om de gegevens te verhuizen naar Europa, dan is het advies om dat te doen. Bied jouw leverancier die mogelijkheid niet, dan kun je onderzoeken of er misschien andere afspraken zijn gemaakt met het land waarin jouw persoonsgegevens worden opgeslagen.
Dit zijn de regels
In principe is het volgens de Algemene Verordening Gegevensbescherming (AVG) wel toegestaan om persoonsgegevens buiten de Europese Unie (EU) op te slaan. Maar dan moet je aan bepaalde voorwaarden voldoen:
Is er een adequaatheidsbesluit?
Dit betekent dat persoonsgegevens kunnen worden overgedragen naar landen die door de Europese Commissie als “adequaat” worden beschouwd. In deze landen wordt een vergelijkbaar niveau van gegevensbescherming geboden als binnen de EU. De Europese Commissie heeft besloten dat de volgende landen een passend beschermingsniveau bieden:
Andorra, Argentinië, Canada (alleen commerciële organisaties), Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Verenigd Koninkrijk, Zwitserland, Zuid-Korea.
Zijn er passende waarborgen?
Als een land geen adequaatheidsbesluit heeft, kunnen persoonsgegevens nog steeds worden overgedragen als er passende waarborgen zijn. Een voorbeeld is dat je dan gebruikmaakt van modelcontractbepalingen (ook wel bekend als ‘standaardcontractbepalingen’) die door de Europese Commissie zijn vastgesteld goedgekeurd.
Bovendien is het belangrijk na te gaan of je boven op deze bepalingen nog aanvullende contractuele, organisatorische en/of technische (beveiligings)maatregelen moet nemen. Dat hangt af van de specifieke overdracht van persoonsgegevens naar een land buiten de EU.
Binding Corporate Rules (BCR)
Grote multinationals stellen soms zelf regels op over de bescherming van persoonsgegevens. Deze BCR’s moeten worden goedgekeurd door de bevoegde toezichthoudende autoriteiten.
Toestemming
In sommige gevallen kan de overdracht van persoonlijke gegevens buiten de EU plaatsvinden op basis van de expliciete toestemming van de betrokkenen. Het is belangrijk op te merken dat toestemming aan strikte vereisten moet voldoen om geldig te zijn onder de AVG.
Europese toezichthouders zijn zeer kritisch over doorgifte van persoonsgegevens naar de VS
En hoe zit het met de Verenigde Staten?
Voor de VS is er geen adequaatheidsbesluit. Dit was er wel, maar in juli 2020 heeft het Europees Hof van Justitie het zogenaamde EU-VS Privacy Shield-programma ongeldig verklaard (de Schrems II uitspraak). Je zult daarom moeten kijken naar de overige passende waarborgen zoals de standaardcontractbepalingen, BCR’s of toestemming. Kijk ook goed naar aanvullende maatregelen. Belangrijk te benadrukken is dat Europese toezichthouders zeer kritisch zijn over doorgifte van persoonsgegevens naar de VS. Een goed en recent voorbeeld is de megaboete van EUR 1,2 miljard voor Meta.
We adviseren om geen persoonsgegevens op te slaan in de VS. Er zijn grote verschillen in de bescherming van persoonsgegevens tussen de EU en de VS. Neem het zekere voor het onzekere en sla je gegevens op binnen de EU-grenzen.
Let op! Zelfs als je persoonsgegevens binnen de EU opslaat, dan nog is het belangrijk goed te kijken of niet op een andere manier persoonsgegevens worden doorgegeven naar buiten de EU. Denk hierbij aan remote access van medewerkers buiten de EU tot data en systemen in de EU. Maar ook aan situaties waarbij een leverancier gebruikmaakt van sub-leveranciers die zijn gevestigd in bijvoorbeeld de EU. Ook in deze situaties moet je aan de hiervoor genoemde voorwaarden voldoen.
Maarten Roelfs is voorzitter van de Stichting AVG. In de rubriek Ondernemersvragen beantwoordt hij vragen van ondernemers over privacy en de AVG.
Stel hem via het contactformulier. Misschien verschijnt jouw vraag én ons antwoord dan in deze rubriek.
