Blog

Wanneer mogen persoonsgegevens op reis?

In september schreven we over VoetbalTV, die door de Autoriteit Persoonsgegevens (AP) op de vingers was getikt. Op 23 november heeft de rechtbank bepaald dat VoetbalTV de boete van 575 duizend euro niet hoeft te betalen. De AP heeft volgens de rechtbank onvoldoende uitgelegd waarom VoetbalTV geen gerechtvaardigd belang heeft bij het opnemen en uitzenden van amateurwedstrijden. Maar dat wil niet zeggen dat de AVG minder belangrijk is geworden!

Buiten de EU

Ook op Europees niveau speelt van alles. Zo heeft de European Data Protection Board - het samenwerkingsverband van privacytoezichthouders binnen de EU - op 19 november een eerste aanbeveling gedaan om het bedrijfsleven meer duidelijkheid te geven over de doorgifte van persoonsgegevens naar derde landen. Derde landen zijn landen die geen lid van de EU zijn en waar de persoonsgegevens mogelijk minder goed beschermd zijn.

Het doel van deze aanbeveling is om bij doorgifte van persoonsgegevens naar andere landen te garanderen dat deze gegevens een beschermingsniveau krijgen dat gelijkwaardig is aan het niveau dat binnen de EU wordt gegarandeerd. Goed idee! Maar dan moeten ondernemingen natuurlijk wel weten wat ze hiervoor moeten doen.

Routekaart

Gelukkig bevat de aanbeveling een routekaart voor de gegevensexporteurs. Met deze stappen kunnen ze achterhalen welke aanvullende maatregelen ze moeten nemen om gegevens overeenkomstig de EU-wetgeving buiten de EU te kunnen overdragen (bron: Brand Compliance):

Stap 1: Weet waar de persoonsgegevens naartoe gaan

Aan welke landen worden persoonsgegevens doorgegeven? Blijven de gegevens binnen de EU of gaan ze ook naar derde landen?

Stap 2: Op basis waarvan worden persoonsgegevens doorgegeven aan een derde land?

Persoonsgegevens mogen worden doorgegeven als er sprake is van een van de volgende gevallen:

  • Als er een adequaatheidsbesluit is
  • Als er passende waarborgen zijn getroffen
  • Bij een juridisch bindend instrument tussen overheden
  • In geval van bindende bedrijfsvoorschriften
  • Bij modelcontracten (Let op: deze staan deels ter discussie.)
  • Als er een gedragscode is
  • Bij certificering

Stap 3: Check de lokale wetgeving

Biedt het land passende waarborgen en beschikken de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen? Deze beoordeling moet worden gemaakt en uitvoerig worden gedocumenteerd.

Stap 4: Kunnen aanvullende maatregelen uitkomst bieden? 

Denk hierbij aan encryptie of pseudonimisering. Als de aanvullende maatregelen geen uitkomst bieden, stop dan met de doorgifte van de persoonsgegevens!

Stap 5: Neem toepasselijke procedurele stappen

Bijvoorbeeld door contact op te nemen met de AP, omdat in sommige gevallen goedkeuring van de AP vereist is.

Stap 6: Herbeoordeel regelmatig het beschermingsniveau

Controleer regelmatig of het beschermingsniveau in het derde land nog adequaat is of dat er ontwikkelingen zijn die het beschermingsniveau verminderen.

Altijd handig!

Deze stappen zijn altijd handig om te doorlopen, ook als je geen data over de grens transporteert. Het kan namelijk zomaar zijn dat de back-up van je data ergens buiten de Nederlandse grenzen plaatsvindt, zonder dat je je daar bewust van bent.

Als je de invulling van de AVG binnen je organisatie wilt verbeteren, adviseren we je te kijken naar ISO 27701. Deze normering specificeert de eisen en geeft richtlijnen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Privacy Informatie Management Systeem (PIMS). Het is een toevoeging op de eisen van ISO 27001 en je kunt je dan ook alleen certificeren voor ISO 27701 in combinatie met ISO 27001.

Heb je vragen over de implementatie van ISO 27701 als aanvulling op uw huidige ISO 27001? We helpen je bij inTECHrity graag verder. Je kunt altijd contact met ons opnemen. Je kunt ook meer informatie vinden op onze website www.intechrity.nl of in onze andere blogs.

inTECHrity is officieel ACP-partner van BSI

Gepubliceerd: 07-12-2020
Deel blog:

Neem contact op om kennis te maken met de specialisten van inTECHrity. Wij helpen u graag verder!

Meer weten over de diensten en knowhow van inTECHrity? Wij maken graag kennis en onze specialisten helpen u graag verder!

Om bepaalde functionaliteiten zoals het onderzoeken van uw gedrag op onze website aan te bieden gebruiken wij analytische en tracking cookies op onze website. Omdat we uw privacy belangrijk vinden, vragen we u de tracking cookies te accepteren. Wilt u eerst meer informatie over onze Cookie-policy, klik dan op ‘Meer informatie’.


Meer informatie