Please select a page template in page properties.

Internationale samenwerking

Steeds meer onderzoeken vinden plaats in een internationale context, waarbij onderzoeksteams van verschillende internationale publieke en private partijen met elkaar samenwerken. De datasets die men binnen deze onderzoeken verzamelt, kunnen dan zowel op servers binnen als buiten de EU staan. De specifieke regelgeving waaraan het uitwisselen van data tussen EU-lidstaten en landen buiten de EU onderhevig is, behandelen we in dit hoofdstuk.

Allereerst is het van belang om het onderscheid te maken tussen drie type landen:

EU-lidstaten

Op de verwerking van persoonsgegevens binnen deze landen is de AVG van toepassing. De EU is één rechtsgebied bij de bescherming van persoonsgegevens. Geeft een organisatie gegevens door van Nederland naar een ander EU-land? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG.

Landen in de Europese Economische Ruimte (EER)

Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens. Geeft een organisatie gegevens door vanuit Nederland naar Noorwegen, Liechtenstein en IJsland? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG.

 

Landen buiten de EU en de EER

Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU en de EER, zogeheten ‘derde landen’, gelden aparte regels (dit heet een ‘cross border data transfer’). De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau dat in essentie gelijkwaardig is met de waarborgen binnen de EU; het niveau van gegevensbescherming mag niet ondermijnd worden.

Als er geen sprake is van een passend beschermingsniveau, is doorgifte slechts toegestaan op grond van een van de wettelijke bepalingen uit de AVG (bron: Hoofdstuk 5 - Doorgiften van persoonsgegevens aan derde landen of internationale organisaties).

Grensoverschrijdende gegevensoverdrachten

De AVG erkent de noodzaak van grensoverschrijdende gegevensoverdrachten voor de uitbreiding van internationale handel en internationale samenwerking. Doorgifte aan derde landen en internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met de AVG. De gegevensbescherming van de EU stopt dus niet bij de EU-grenzen.

Van belang is om steeds te bepalen wat de risico’s van uitwisseling van persoonsgegevens zijn in relatie tot de impact die deze uitwisseling kan hebben op de vrijheden van EU-burgers. Is er geen risico in de uitwisseling van gegevens, dan is er ook geen gegevensbescherming nodig: de uitwisseling valt dan onder ‘free movement of data’.

Het criterium voor gegevensbescherming is de mate waarin de fundamentele rechten van EU-burgers worden aangetast. Het gaat hierbij altijd om de balans tussen de bescherming van de fundamentele mensenrechten (artikel 7 en 8, EU Handvest) en de vrijheden van mensen. Hierbij is zoals we al eerder zagen ‘privacy’ niet altijd het hoogste recht; in sommige situaties kan het belang van de nationale veiligheid bijvoorbeeld prevaleren. De AVG vergemakkelijkt de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens en specificeert in Overweging 3: 'om het vrije verkeer van persoonsgegevens te waarborgen tussen de lidstaten'.

Samengevat, in één afbeelding (bron):

Adequaatheidsbesluit

Sommige landen bieden echter waarborgen die een passend beschermingsniveau garanderen, in essentie gelijkwaardig aan het beschermingsniveau binnen de Europese Unie. Met betrekking tot een dergelijk land stelt de Europese Commissie een zogenaamd 'adequaatheidsbesluit' op. Met andere woorden: ‘grensoverschrijdende stromen van persoonsgegevens’ vanuit de EER naar het land in kwestie zijn gelijkgesteld met overdracht van gegevens binnen de EU.

Als een land echter geen deel uitmaakt van de EU, EER en ook geen adequaatheidsbesluit heeft ontvangen dan noemen we dit een ‘derde land’:

De AVG beschrijft in dat geval een aantal wettige mechanismen om deze ‘grensoverschrijdende gegevensoverdrachten’ te legitimeren. Een van deze wettige mechanismen is bijvoorbeeld het afsluiten van zogenaamde Standard Contractual Clauses (SCC):

In de spotlight


Standard Contractual Clauses

Een standaardcontractbepalingen (SCC) is bijvoorbeeld nodig bij EU-verwerkingsverantwoordelijken die persoonsgegevens doorgeven aan verwerkers in derde landen zonder passend niveau van gegevensbescherming. In deze SCC's creëren beide organisaties (de exporterende en de importerende organisatie van persoonsgegevens) door ondertekening van de SCC elk een wettelijke verplichting waaraan zij beiden gehouden zijn. Deze verplichting wordt geacht voldoende waarborgen te bieden voor de bescherming van de privacy en fundamentele rechten en vrijheden van individuen en met betrekking tot de uitoefening van de overeenkomstige rechten. De SCC als juridisch mechanisme is alleen geldig als beide partijen in de praktijk ook daadwerkelijk voldoen aan de gedefinieerde set van wettelijke verplichtingen.

Onderdeel van de SCC is de afspraak dat nationale gegevensbeschermingsautoriteiten in de EU het recht hebben om hun bevoegdheden uit te oefenen. Bijvoorbeeld door gegevensstromen naar een derde land (waarin de importerende organisatie is gevestigd) te verbieden of op te schorten wanneer wordt vastgesteld dat de wet waaraan de gegevensimporteur onderworpen is hem eisen oplegt die afwijken van de verplichtingen in de SCC.

Voor samenwerking met een ‘derde land’ met persoonsgegevens geldt bij het aangaan van een SCC, dat dit land redelijkerwijs geacht wordt te kunnen voldoen aan de eisen die in de SCC worden gesteld. Voor samenwerking met de VS is dit sinds de zogenaamde ‘Schrems 2’ uitspraak van het Europese Hof moeilijker geworden.