Data naar het buitenland, wanneer mag dat?

Informeer betrokkenen
Wanneer je als organisatie persoonsgegevens buiten de EER verwerkt, moet je de betrokkenen daarover informeren. Daarbij moet worden aangegeven welke passende waarborgen de privacy beschermen en hoe betrokkenen daarover informatie kunnen ontvangen. Mogelijk hebben betrokkenen er moeite mee dat gegevens buiten de EER worden verwerkt en/of opgeslagen, bijvoorbeeld wanneer dit voor het doel van de verwerking niet nodig is of het de betrokkenen geen voordelen oplevert. Dit kan een drempel vormen die hen ervan weerhoudt diensten van de organisatie te gebruiken. Ook kan het invloed hebben op het imago van de organisatie. Hoe komt het bijvoorbeeld over als de gemeente of een zorginstelling gegevens aan de andere kant van de wereld opslaat?

Zorg voor passende waarborgen
Wanneer gegevens buiten de EER worden opgeslagen/verwerkt, vereist de AVG dat de privacy op een vergelijkbaar niveau is gewaarborgd als binnen de EER. Dat kan op verschillende manieren:

• door gegevens te verwerken in landen met een adequaatheidsbesluit van de Europese Commissie. Van deze landen heeft de Europese Commissie vastgesteld dat de privacy voldoende is gewaarborgd. Zulke besluiten zijn er voor bijvoorbeeld Canada, Zwitserland en Israël.

Ook de Verenigde Staten (VS) hebben een adequaatheidsbesluit, maar deze geldt enkel voor Amerikaanse organisaties die zich voor het EU-US Privacy Shield hebben gecertificeerd;

• door contractuele afspraken, zoals door de Europese Commissie bepaalde model-contracten (Standard Data Protection Clauses) die ongewijzigd gebruikt moeten worden;

• door bedrijfsinterne regels (Binding Corporate Rules) die zijn goedgekeurd door een toezichthouder, zoals de Autoriteit Persoonsgegevens.

Ook mogen gegevens worden verwerkt buiten de EER als een uitzondering van toepassing is. Dit is bijvoorbeeld het geval wanneer het verwerken van gegevens nodig is voor het uitvoeren van een contract of wanneer het leven van de betrokkene op het spel staat.

De passende waarborgen zul je regelmatig moeten controleren. Een eenmaal genomen besluit kan worden teruggedraaid, bijvoorbeeld door de rechter. Dit gebeurde enkele jaren geleden door het Europese Hof met het adequaatheidsbesluit voor de VS op basis van Safe Harbor Privacy Principles. De opvolger, EU-US Privacy Shield, ligt inmiddels ook onder vuur. Ben je als organisatie voorbereid wanneer het Privacy Shield op enig moment niet meer geldig is?

Weet waar je data staat
Om betrokkenen goed te informeren en om te zorgen voor passende waarborgen is het dus noodzakelijk te weten waar de gegevens worden opgeslagen én worden verwerkt. Vaak blijft dit in verwerkersovereenkomsten onduidelijk, of behouden leveranciers zich het recht voor om de locatie van hun servers en opslag aan te passen. Wanneer de verwerking naar buiten de EER wordt gebracht moeten de betrokkenen daarover worden geïnformeerd. Dat kan je alleen doen als je grip houdt op waar de leverancier de gegevens verwerkt en opslaat. Verder is het maar de vraag of je als verwerkingsverantwoordelijke te maken wil krijgen met buitenlandse wetgeving.

Om imagoschade en/of onnodige drempels te voorkomen is het vaak beter om in de verwerkersovereenkomst met een leverancier vast te leggen dat de gegevens in de EU of in de EER blijven.

Maak de afweging: data binnen of buiten de EER?
Voor veel (kleinere) organisaties leidt het verwerken van gegevens buiten de EER tot veel extra gedoe. Afgezien van de hierboven genoemde aspecten kunnen ook imago en de juridische complexiteit die buitenlandse wetgeving met zich meebrengt redenen zijn om te zoeken naar alternatieve leveranciers die gegevens verwerken binnen de EER. Vaak zijn die er wel, maar (nog) minder bekend.

In ieder geval loont het om de afweging bewust te maken.

Samengevat:

• Weet waar de data staat

• Weeg alternatieven en risico’s af

• Regel het goed, zowel met de leverancier als met betrokkenen

Dit artikel is ook te vinden in het dossier AVG