Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

90.03 Wat wordt bedoeld met Doorgifte van gegevens?

Vraag:

Wat wordt bedoeld met "doorgifte" van gegevens?

 

Kort antwoord

“Doorgifte” is niet specifiek gedefinieerd in art. 4 AVG, maar alleen nader omschreven.

Onder “doorgifte” wordt het doorgeven voor verwerking van persoonsgegevens buiten NL verstaan. Meer specifiek: aan “derde landen” en aan internationale organisaties. Derde landen zijn dan praktische gezien alle landen buiten de EER (de EU-landen en Noorwegen, Liechtenstein en IJsland). De landen van de EER kennen namelijk een gelijkwaardig niveau van bescherming van persoonsgegevens, namelijk de AVG zelf. 

Derde landen vallen, indien zij niet voldoen aan de eisen van art. 3 AVG (Territoriaal toepassingsgebied), niet onder de AVG. De gegevensbescherming moet dan anders zijn geregeld: door middel van "borging van een passend beschermingsniveau”.

Juridische onderbouwing

De hoofdregel
De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een “passend beschermingsniveau” (art. 44 AVG). De drie typen beschermingsniveau’s zijn vastgelegd in de AVG (hoofdstuk V):

  • doorgifte mag op basis van een adequaatheidsbesluit, een beslissing van de Europese Commissie dat het betreffende land een “passend beschermingsniveau waarborgt”, (art. 45 AVG),
  • doorgifte mag op basis van passende waarborgen door VV en V, die via de rechter afdwingbaar moeten zijn, (art. 46 AVG),
  • doorgifte mag op basis van “dwingende bedrijfsvoorschriften” (definitie art 4 AVG): voorschriften die binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, worden gehanteerd en die waarborgen geven (art 47. AVG).

Voor verwerkers in derde landen geldt dat zij met een VV een vovk moeten zijn aangegaan (art. 28 AVG), waarin de “passende technische en organisatorische maatregelen” zijn vastgelegd. Zij verwerken gegevens van B’s in de EER en moeten dus sowieso aan de AVG voldoen (art. 3 AVG).

Uitzonderingen op de hoofdregel
Van de drie beschermingsniveaus mag worden afgeweken in een aantal situaties, die in art. 49 AVG limitatief zijn opgesomd:

  • met toestemming van B,
  • uit overeenkomst,
  • bij gewichtige redenen of algemeen belang,
  • i.h.g.v. een rechtsvordering,
  • bij vitale belangen van B of van anderen,
  • volgens specifieke Unie-rechtelijke regelingen.

Afdrukken