Volg ons op sociale media

EDPB Aanbevelingen doorgifte persoonsgegevens naar derde landen

Geplaatst op 26 november 2020 om 09:00

In onze eerdere blog van 3 augustus 2020 informeerden wij u over Schrems II waarin Het Europese Hof het Privacy Shield ongeldig verklaarde. De inhoud van Schrems II gaat echter verder dan dat: het Hof sprak zich in Schrems II namelijk ook in meer algemene zin uit over de doorgifte van persoonsgegevens naar derde landen. 

Doorgifte-instrumenten
Het doorgeven van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER), zogeheten derde landen, is volgens de Algemene Verordening Gegevensbescherming (hierna: “AVG”) alleen toegestaan:

-       Indien de Europese Commissie door middel van een adequaatheidsbesluit heeft geoordeeld dat een specifiek derde land een passend beschermingsniveau waarborgt[1]. Het beoordelingskader hiervoor staat benoemd in artikel 45 AVG[2];

-       Bij gebrek aan een adequaatheidsbesluit van de Europese Commissie, indien het derde land passende waarborgen biedt. Deze passende waarborgen kunnen worden geboden door een van de verschillende doorgifte-instrumenten zoals benoemd in artikel 46 AVG.[3]

De EU-modelcontracten, ook wel Standard Contractuel Clauses of SCC genoemd, zijn voor veel organisaties het meest bekend als doorgifte-instrument. Juist over dit doorgifte-instrument deed het Hof in Schrems II aanvullend uitspraak: het Hof oordeelde namelijk dat het gebruik van modelcontracten op zichzelf niet voldoende is om vast te stellen of een derde land passende waarborgen biedt, maar dat organisaties verplicht zijn om per geval te beoordelen of de rechtsbescherming van een derde land gelijkwaardig is aan dat binnen de Europese Unie. Bij een negatieve uitkomst zal gekeken moeten worden of aanvullende maatregelen het beschermingsniveau wel gelijkwaardig kunnen maken aan dat binnen de Europese Unie, aldus het Hof. Hoe die beoordeling uitgevoerd moet worden en welke aanvullende maatregelen dan precies doeltreffend zijn, werd in Schrems II niet duidelijk.

Aanbevelingen EDPB
Recent heeft de European Data Protection Board (EDPB) haar eerste aanbevelingen gepubliceerd inzake de doorgifte van persoonsgegevens naar derde landen.[4] In het bijzonder moet beoordeeld worden of de nationale wetgeving of rechtspraktijk van het derde land afbreuk doet aan het doorgifte-middel dat gekozen is, in het bijzonder ten aanzien van surveillance van de overheid. Indien de nationale rechtspraktijk daadwerkelijk afbreuk doet aan het doorgifte-middel dat gekozen is, dan dient beoordeeld te worden of aanvullende maatregelen soelaas kunnen bieden. Het EDPB heeft hiervoor in haar aanbevelingen een niet-uitputtende lijst met aanvullende maatregelen gepubliceerd en de voorwaarden voor de effectiviteit ervan. Het kan goed mogelijk zijn dat aanvullende maatregelen gecombineerd moeten worden om een passend beschermingsniveau te bieden. Kan er geen passend beschermingsniveau worden geboden, dan dient de doorgifte van persoonsgegevens naar het derde land te worden opgeschort of beëindigd. Het verdient nog expliciet de opmerking dat het door het EDPB geschetste beoordelingskader, geldt voor alle doorgifte-instrumenten zoals benoemd in artikel 46 AVG. U zult dus het beschermingsniveau van het derde land bij alle door u gebruikte doorgifte-instrumenten uit artikel 46 AVG moeten toetsen.

Tot slot 
Het lijkt erop alsof de doorgifte van persoonsgegevens naar derde landen zo onaantrekkelijk (en bovenal risicovol) wordt gemaakt dat organisaties zich daar niet (meer) aan zullen gaan wagen. Er is daarnaast geen transitieperiode afgekondigd, organisaties zullen daarom direct moeten voldoen aan de uitspraak van het Hof in Schrems II. Wij blijven onze deelnemers, ook na de publicatie van de eerste aanbevelingen van de EDPB, aanraden om persoonsgegevens zoveel als mogelijk te verwerken binnen de EER. Het beoordelingskader van de EDPB zal in de praktijk namelijk lastig toe te passen zijn.  

Mocht het EDPB haar zienswijze de komende tijd nog verder uitdiepen, dan houden wij u vanzelfsprekend op de hoogte.   

Nog geen deelnemer? Neem contact met ons op via 088 77 300 73 of via info@ictwaarborg.nl

  

Meer nieuws & blogs, november 2020

Onze evenementen

Als speler in de ICT-branche wilt u natuurlijk ook een rol spelen en in contact komen met andere belangrijke bedrijven in de sector. Daarom organiseert ICTWaarborg regelmatig leuke en leerzame events.

Post- en vestigingsadres

Tasveld 1A
3417 XS Montfoort

Telefoon en e-mail

088 - 77 300 73