Privacy in de praktijk - Regel voldoende waarborgen als je persoonsgegevens aan derden verstrekt

Als je persoonsgegevens aan derden doorgeeft, moet je zorgen voor voldoende waarborgen om te zorgen dat de derde bij de verwerking van de gegevens ook aan alle (vuist)regels voldoet. Bij verstrekking aan een bewerker (een derde die persoonsgegevens “ten behoeve van” de verantwoordelijke verwerkt, moet een bewerkersovereenkomst worden gesloten. Het gaat dan bijvoorbeeld om een situatie waarin een cloud provider of een salarisadministrateur persoonsgegevens voor de verantwoordelijke verwerkt. Voor de inhoud van een bewerkersovereenkomst gelden speciale voorwaarden. Zie daarvoor de Richtsnoeren voor de beveiliging van persoonsgegevens van de toezichthouder. Vooral bij doorgifte aan een derde buiten de EU gelden strenge regels. In dit artikel gaan we nader in op deze regels.

Doorgifte van persoonsgegevens naar landen binnen en buiten de EU: wat mag wel en wat mag niet?

Zomaar een greep uit de vragen, die wij regelmatig krijgen:

• Ons hoofdkantoor in Amerika vraagt aan onze vestiging in Nederland om hen toegang te verlenen tot de personeelsadministratie: mag dat?
• Wij zijn onderdeel van een multinational. Ons hoofdkantoor in Canada vraagt aan alle Europese vestigingen om informatie over jong talent aan hen door te spelen in verband met mogelijke ‘job rotation’: mag dat?
• Wij zijn al langer niet meer tevreden over de capaciteit en de snelheid van onze servers; wij moeten nu ook eindelijk maar eens overstappen naar de cloud. Wij hebben een service provider gevonden in India die dit helemaal voor ons kan fixen: zien jullie een probleem?
• Wij hebben veel tijd en energie gestopt in ons klantenbestand. Laatst werden we benaderd door een online advertising bedrijf dat wel geïnteresseerd was om voor deze gegevens te betalen. Trouwens, ook nog best een aardig bedrag: moeten we nog ergens rekening mee houden?

In allerlei situaties kan er – binnen en buiten concernverband – een behoefte bestaan om persoonsgegevens aan een andere partij in een ander land door te geven. Onder de WBP is de doorgifte van persoonsgegevens aan behoorlijk strenge eisen onderworpen en dat zal onder de AVG, die vanaf 25 mei 2018 van toepassing is, niet anders zijn. Natuurlijk moet steeds aan de algemene eisen van de WBP (straks de AVG) zijn voldaan (waaronder informatieplichten), maar voor doorgifte binnen en buiten de EU gelden daarnaast enkele bijzonderheden.

Wat zijn de ‘hard and fast rules’?

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Onder de WBP en straks ook onder de AVG is uitgangspunt dat persoonsgegevens alleen maar mogen worden doorgegeven aan landen waar een passend beschermingsniveau bestaat. Voor doorgifte binnen de EU gelden daarbij andere regels dan voor doorgifte buiten de EU.

Doorgifte binnen de EU

Binnen de EU is het beschermingsniveau in alle lidstaten gelijk. We hebben nu nog te maken met 28 lidstaten, maar na de Brexit zal voor het Verenigd Koninkrijk blijven gelden dat zij voldoende bescherming biedt. Ook voor Noorwegen, Liechtenstein en IJsland – landen die behoren tot de Europese Economische Ruimte (EER) – geldt dat zij zich verplicht hebben de AVG te implementeren. Dat betekent automatisch dat zij een passend beschermingsniveau hebben en dat doorgifte van persoonsgegevens aan deze landen zonder nadere voorwaarden is toegestaan. Verder heeft de Europese Commissie (EC) besloten dat de een aantal derde landen een passend beschermingsniveau biedt. Het gaat onder meer om Israël en Zwitserland. Zie een volledig overzicht.

Doorgifte buiten de EU

Voor doorgifte buiten de EU aan landen die geen passend beschermingsniveau hebben, gelden aparte regels. Voor doorgifte van persoonsgegevens aan landen buiten de EU geldt dat dit slechts is toegestaan op basis van een wettelijke uitzondering of met een vergunning van de Minister van Justitie en Veiligheid (die dit gedelegeerd heeft aan de Autoriteit Persoonsgegevens). De WBP kent een aantal wettelijke uitzonderingen, waarvan de belangrijkste zijn:

• Toestemming van de betrokkene (maar laat op: deze moet vrijwillig en ondubbelzinnig zijn, terwijl de Europese toezichthouders (verenigd in de artikel 29 Werkgroep) een opinie hebben afgegeven waaruit volgt dat het geven van vrijwillige en ondubbelzinnige toestemming door een werknemer in relatie tot de werkgever vrijwel nooit mogelijk is; bovendien eenmaal gegeven toestemming kan worden ingetrokken, dus al met al in veel gevallen een wankele basis);
• Uitvoering van een overeenkomst;
• Gebruik van EU-model contract (ook wel: EU-model clauses) in ongewijzigde vorm (let op: dit laatste is zeer belangrijk!).

In onze praktijk adviseren wij vrijwel altijd om bij doorgifte naar een derde land buiten de EU gebruik te maken van de EU-model contracten. Er zijn verschillende varianten, afhankelijk van de vraag of de informatie van een (verwerkings)verantwoordelijke naar een andere (verwerkings)verantwoordelijke gaat of naar een verwerker, dus let goed op dat u de juiste versie kiest. Als u van het (ongewijzigde!) EU-model contract gebruik maakt, hoeft u geen vergunning aan te vragen bij de Autoriteit Persoonsgegevens.

Doorgifte naar de Verenigde Staten

Een enkel woord, tot slot, nog over de positie van de Verenigde Staten. De Verenigde Staten staan op de hierboven aangehaalde EC-lijst van landen met een passend beschermingsniveau en op dit moment is doorgifte van persoonsgegevens aan de Verenigde Staten op grond van het door de EC vastgestelde EU-VS privacy shield toegestaan. Het EU-VS privacy shield is sinds juli 2016 van kracht. Het heeft als doel om bij de uitwisseling van persoonsgegevens met de Verenigde Staten een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de EU. Elke organisatie die gecertificeerd is bij het privacy shield heeft een passend beschermingsniveau. Voor de doorgifte van gegevens onder het EU-VS privacy shield wordt gebruik gemaakt van de hiervoor aangehaalde EU-model contracten. Het privacy shield is in de plaats gekomen van de zogenaamde Safe Harbour-overeenkomst, die het Europese Hof van Justitie op 6 oktober 2015 ongeldig verklaarde na een klacht van de Oostenrijker Max Schrems over de doorgifte van zijn gegevens door Facebook naar de Verenigde Staten. Nu ligt inmiddels ook het EU-VS privacy shield onder vuur: Schrems heeft in een zaak tegen de Ierse Data Protection Authority (Facebook heeft haar Europese hoofdvestiging in Ierland) betoogd dat de EU-model contracten net zo min als de Safe Harbour regeling geschikt zijn om persoonsgegevens van burgers door te geven aan landen buiten de EU. De hoogste Ierse rechter heeft de zaak inmiddels doorverwezen naar het Europese Hof van Justitie, die de zaak nu onder behandeling heeft. De kans is reëel aanwezig dat de EU-model contracten bij het Europese Hof van Justitie onderuit gaan en dan zal moeten worden bekeken op welke basis persoonsgegevens rechtmatig aan de Verenigde Staten kunnen worden. Vooralsnog adviseren wij onze cliënten – bij gebrek aan beter – gebruik te blijven maken van de EU-model contracten. Wij houden de ontwikkelingen uiteraard nauwlettend in de gaten en laten u weten zodra het Europese Hof van Justitie een oordeel heeft geveld over de toekomst van de EU-model contracten. ***

Lees meer artikelen in deze reeks:

• Privacy in de praktijk - De zeven vuistregels
• Gebruik de gegevens alleen op één van de in de wet vermelde gronden
• Gebruik gegevens alleen voor het doel waarvoor je ze hebt verkregen
• Hoe privacygevoeliger de informatie, des te minder er mag
• Beveilig gegevens voldoende tegen verlies of onbevoegde toegang en meld eventuele datalekken
• Regel voldoende waarborgen als je persoonsgegevens aan derden verstrekt
• Vertel de betrokkene wat u doet met zijn gegevens (checklist privacyverklaring)
• Proportionaliteit en subsidiariteit

Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.