transferencias internacionales de datos personales

Er is sprake van een internationale doorgifte wanneer persoonsgegevens vanuit de EER worden verstrekt aan een partij (verwerkingsverantwoordelijke of verwerker) in een land buiten de EER of aan een internationale organisatie. Dit omvat ook toegang tot gegevens die de mogelijkheid biedt tot downloaden, bewerken of andere verwerking buiten de EER.

Het is cruciaal de reikwijdte van deze regelgeving te begrijpen, omdat internationale doorgiften onderworpen zijn aan specifieke eisen om een adequaat beschermingsniveau te waarborgen. Simpele toegang vanuit buiten de EER tot gegevens die binnen de EER worden opgeslagen, *zonder* dat de gegevens effectief worden overgedragen of verder verwerkt buiten de EER, valt doorgaans *niet* onder de definitie van doorgifte. Echter, als die toegang gepaard gaat met de mogelijkheid de gegevens te downloaden, te bewerken of anderszins te verwerken buiten de EER, dan is er wel sprake van een internationale doorgifte.

Veelvoorkomende scenario's die als internationale doorgiften worden beschouwd, zijn onder andere:

• Cloudopslag buiten de EER: Het opslaan van persoonsgegevens op servers die zich fysiek buiten de EER bevinden.
• Outsourcing van IT-diensten: Het uitbesteden van IT-support aan een bedrijf dat is gevestigd in een derde land, waarbij toegang tot persoonsgegevens noodzakelijk is.
• Doorgifte aan een moederbedrijf buiten de EER: Het verzenden van personeelsgegevens naar het hoofdkantoor van een multinational dat zich buiten de EER bevindt.

## Wat zijn Internationale Doorgiften van Persoonsgegevens?

De Algemene Verordening Gegevensbescherming (AVG) reguleert nauwgezet de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). Een ‘internationale doorgifte’ betreft iedere verstrekking van persoonsgegevens die vanuit de EER naar een verwerkingsverantwoordelijke of verwerker in een derde land of aan een internationale organisatie plaatsvindt (Artikel 4 lid 33 AVG). Dit omvat ook toegang tot gegevens door een partij buiten de EER indien die toegang feitelijk een verstrekking van de gegevens inhoudt.

Het is cruciaal de reikwijdte van deze regelgeving te begrijpen, omdat internationale doorgiften onderworpen zijn aan specifieke eisen om een adequaat beschermingsniveau te waarborgen. Simpele toegang vanuit buiten de EER tot gegevens die binnen de EER worden opgeslagen, *zonder* dat de gegevens effectief worden overgedragen of verder verwerkt buiten de EER, valt doorgaans *niet* onder de definitie van doorgifte. Echter, als die toegang gepaard gaat met de mogelijkheid de gegevens te downloaden, te bewerken of anderszins te verwerken buiten de EER, dan is er wel sprake van een internationale doorgifte.

Veelvoorkomende scenario's die als internationale doorgiften worden beschouwd, zijn onder andere:

• Cloudopslag buiten de EER: Het opslaan van persoonsgegevens op servers die zich fysiek buiten de EER bevinden.
• Outsourcing van IT-diensten: Het uitbesteden van IT-support aan een bedrijf dat is gevestigd in een derde land, waarbij toegang tot persoonsgegevens noodzakelijk is.
• Doorgifte aan een moederbedrijf buiten de EER: Het verzenden van personeelsgegevens naar het hoofdkantoor van een multinational dat zich buiten de EER bevindt.

## De Basisprincipes van de AVG en Internationale Doorgiften

De Algemene Verordening Gegevensbescherming (AVG) legt strenge eisen op bij de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). Relevante basisprincipes van de AVG zijn hierbij cruciaal:

• Rechtmatigheid, eerlijkheid en transparantie: Elke doorgifte moet gebaseerd zijn op een geldige rechtsgrondslag (artikel 6 AVG) en transparant worden gecommuniceerd aan de betrokkenen.
• Doelbinding: Gegevens mogen enkel worden doorgegeven voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (artikel 5(1)(b) AVG).
• Dataminimalisatie: Er mogen niet meer gegevens worden doorgegeven dan noodzakelijk is voor het beoogde doel (artikel 5(1)(c) AVG).
• Juistheid: De doorgegeven gegevens moeten correct en actueel zijn (artikel 5(1)(d) AVG). Er moeten redelijke stappen worden ondernomen om onjuiste gegevens te corrigeren.
• Opslagbeperking: De gegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel (artikel 5(1)(e) AVG).
• Integriteit en vertrouwelijkheid: De gegevens moeten adequaat beveiligd worden tegen ongeautoriseerde toegang of verwerking (artikel 5(1)(f) AVG). Dit is cruciaal, met name in landen met minder strenge privacywetgeving.

Artikel 44 e.v. AVG vereist dat "passende waarborgen" worden getroffen om de bescherming van persoonsgegevens te waarborgen bij doorgifte naar derde landen. Dit kan bijvoorbeeld door het gebruik van standaard contractuele clausules (SCC's) of bindende bedrijfsregels (BCR's). Zonder dergelijke waarborgen is de doorgifte in principe niet toegestaan. De verantwoordelijke moet tevens beoordelen of het niveau van bescherming in het derde land effectief gelijkwaardig is aan dat binnen de EER (artikel 45 AVG).

## Adequate Beschermingsniveau: Witte Lijst Landen

De Algemene Verordening Gegevensbescherming (AVG) vereist, zoals eerder besproken, passende waarborgen bij de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). Echter, artikel 45 van de AVG voorziet in een uitzondering: doorgifte naar landen die door de Europese Commissie erkend zijn als landen met een "adequaat beschermingsniveau." Deze landen worden ook wel "witte lijst" landen genoemd.

De Europese Commissie beoordeelt of de wetgeving en praktijken in een derde land een beschermingsniveau bieden dat in wezen gelijkwaardig is aan dat binnen de EER. Indien dit het geval is, neemt de Commissie een adequaatheidsbesluit. Een actuele lijst van landen met een adequaatheidsbesluit omvat bijvoorbeeld Canada (met betrekking tot commerciële organisaties onderworpen aan de *Personal Information Protection and Electronic Documents Act*), Zwitserland, en het Verenigd Koninkrijk (na Brexit, onder voorwaarden). De exacte lijst kan variëren en wordt regelmatig bijgewerkt door de Europese Commissie.

De betekenis van een adequaatheidsbesluit is aanzienlijk: bij doorgifte van persoonsgegevens naar een "witte lijst" land zijn in beginsel geen aanvullende waarborgen zoals Standaard Contractuele Clausules (SCC's) of Bindende Bedrijfsregels (BCR's) vereist. De doorgifte is dan rechtstreeks toegestaan. Het is echter cruciaal te benadrukken dat de status van een land als 'adequaat' kan veranderen. De Commissie houdt de ontwikkelingen in deze landen nauwlettend in de gaten en kan een adequaatheidsbesluit intrekken indien de bescherming van persoonsgegevens niet langer voldoende gewaarborgd is.

## Doorgifte-Instrumenten zonder Adequate Bescherming: Standaard Contractuele Clausules (SCC's)

Wanneer persoonsgegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER) die geen "adequaat beschermingsniveau" bieden in de zin van Artikel 45 van de Algemene Verordening Gegevensbescherming (AVG), zijn aanvullende waarborgen vereist. Een cruciaal instrument hiervoor zijn Standaard Contractuele Clausules (SCC's).

De Europese Commissie heeft in juni 2021 een nieuwe set SCC's gepubliceerd die de oude clausules vervangen. Deze nieuwe SCC's omvatten diverse modules, afgestemd op verschillende doorgiftescenario's (e.g., controller-controller, controller-processor). Ze leggen belangrijke verplichtingen op aan zowel de data-exporteur als de data-importeur, waaronder transparantie, beveiliging, en rechten van betrokkenen.

Transfer Impact Assessment (TIA): Voordat SCC's worden ingezet, is een TIA essentieel. Dit vereist een beoordeling van de wetgeving en praktijken in het ontvangende land om te bepalen of deze de effectiviteit van de SCC's ondermijnen. Indien de TIA onthult dat de SCC's in de praktijk niet voldoende bescherming bieden (bijvoorbeeld vanwege toegang van overheidsinstanties tot de data), moeten aanvullende maatregelen worden getroffen om dit risico te mitigeren. Zonder een gedegen TIA kan het gebruik van SCC's onvoldoende zijn om aan de AVG te voldoen. De verantwoordelijkheid hiervoor ligt primair bij de exporteur.

## Doorgifte-Instrumenten zonder Adequate Bescherming: Bindende Bedrijfsregels (BCR's)

Bindende Bedrijfsregels (BCR's) bieden een alternatieve oplossing voor internationale doorgifte van persoonsgegevens binnen multinationale ondernemingen (MNO's), met name wanneer Standaard Contractuele Clausules (SCC's) complex of onpraktisch zijn. BCR's zijn interne gedragscodes die een uniform beschermingsniveau voor persoonsgegevens garanderen binnen het hele concern, ongeacht de locatie van de gegevensverwerking. Ze zijn met name relevant als de onderneming regelmatig gegevens intern doorgeeft en een consistente aanpak wenst.

De procedure voor de goedkeuring van BCR's is complex en vereist een aanvraag bij de relevante toezichthoudende autoriteit, meestal de leidende toezichthouder van de MNO in de EU. De BCR's moeten, conform Artikel 47 van de AVG, afdwingbare rechten en effectieve rechtsmiddelen voor betrokkenen garanderen. Dit omvat transparantie over de gegevensverwerking, het recht op inzage, rectificatie, verwijdering en beperking van de verwerking.

In vergelijking met SCC's bieden BCR's voordelen, zoals een uniform databeschermingsniveau binnen de hele MNO en minder administratieve lasten bij individuele doorgiften. Echter, het verkrijgen van de goedkeuring is een langdurig en intensief proces. De goedkeuring van BCR's demonstreert een serieuze toewijding aan privacy en kan het vertrouwen van klanten en andere belanghebbenden versterken.

## Uitzonderingen op het Verbod op Doorgifte

Ondanks het algemene verbod op doorgifte van persoonsgegevens naar landen buiten de EU/EER zonder adequate bescherming of passende waarborgen (art. 44 AVG), zijn er specifieke uitzonderingen die doorgifte onder bepaalde strikte voorwaarden mogelijk maken. Deze uitzonderingen zijn limitatief en moeten restrictief worden geïnterpreteerd.

Een belangrijke uitzondering is de uitdrukkelijke toestemming van de betrokkene (art. 49 lid 1 sub a AVG). De toestemming moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven, na te zijn gewezen op de mogelijke risico's van de doorgifte in afwezigheid van adequate bescherming.

Doorgifte is ook toegestaan indien deze noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke, of voor de uitvoering van maatregelen die op verzoek van de betrokkene voorafgaand aan de sluiting van een overeenkomst zijn genomen (art. 49 lid 1 sub b AVG). Dit kan bijvoorbeeld gelden voor een internationale webwinkel die gegevens van een klant in een derde land nodig heeft om een bestelling te verzenden.

Verder is doorgifte mogelijk indien deze noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van andere personen (art. 49 lid 1 sub d AVG), bijvoorbeeld in een medische noodsituatie.

Andere uitzonderingen betreffen doorgifte voor de instelling, uitoefening of onderbouwing van een rechtsvordering (art. 49 lid 1 sub e AVG) of doorgifte vanuit een openbaar register (art. 49 lid 1 sub g AVG). Het is cruciaal te onthouden dat deze uitzonderingen slechts in uitzonderlijke situaties mogen worden ingeroepen, en dat de verantwoordelijke steeds de minst ingrijpende oplossing moet zoeken.

## Lokale Regelgeving: De Nederlandse Implementatie van de AVG

De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan internationale doorgiften van persoonsgegevens. Nederland implementeert de AVG zonder fundamentele afwijkingen, maar de Autoriteit Persoonsgegevens (AP) speelt een cruciale rol in de interpretatie en handhaving. De AP hanteert een strikte lijn, waarbij zij benadrukt dat doorgiften naar landen buiten de EU/EER alleen zijn toegestaan met adequate waarborgen (zoals standaard contractuele clausules, SCC's, of bindende bedrijfsvoorschriften, BCR's) of in uitzonderlijke gevallen, zoals beschreven in artikel 49 AVG.

De AP heeft in diverse uitspraken benadrukt dat het gebruik van uitzonderingen op grond van artikel 49 AVG beperkt moet blijven. Zo heeft de AP kritiek geuit op organisaties die artikel 49(1)(b) AVG (noodzakelijke doorgifte voor de uitvoering van een overeenkomst) te ruim interpreteren. De AP verwacht een grondige beoordeling van de noodzaak en de afwezigheid van alternatieve, minder ingrijpende opties. Het is raadzaam om de gepubliceerde besluiten van de AP nauwlettend te volgen om inzicht te krijgen in haar interpretaties.

Daarnaast is de rol van de ondernemingsraad (OR) relevant bij internationale doorgiften. Op grond van artikel 25 Wet op de ondernemingsraden (WOR) heeft de OR adviesrecht over elk voorgenomen besluit tot invoering of wijziging van een regeling met betrekking tot de verwerking van persoonsgegevens van werknemers. Een internationale doorgifte die significante impact heeft op de privacy van werknemers valt hieronder. De werkgever dient de OR tijdig te informeren en serieus rekening te houden met het advies van de OR.

## Praktijkvoorbeeld / Mini Casus

Stel, het Nederlandse bedrijf "BloomTech BV" wil de klantgegevens van 10.000 Nederlandse klanten doorgeven aan "MarketWise Inc.", een marketingbureau in de Verenigde Staten, voor gerichte advertentiecampagnes. BloomTech moet, conform de AVG (Algemene Verordening Gegevensbescherming), verschillende stappen ondernemen.

Allereerst is een Transfer Impact Assessment (TIA) vereist. BloomTech moet onderzoeken of de Amerikaanse wetgeving (inclusief de impact van surveillance wetten) een gelijkwaardig beschermingsniveau biedt als de AVG. Dit onderzoek moet specifiek aandacht besteden aan de mogelijkheden voor betrokkenen (klanten) om hun rechten uit te oefenen.

Vervolgens moeten Standaard Contractuele Clausules (SCC's) worden geïmplementeerd tussen BloomTech en MarketWise. De Europese Commissie heeft nieuwe SCC's gepubliceerd (Besluit 2021/914) die de basis vormen voor de doorgifte. Deze SCC's moeten correct worden ingevuld en geïmplementeerd.

Daarnaast moet BloomTech de rechten van de betrokkenen waarborgen. Dit betekent dat klanten duidelijk geïnformeerd moeten worden over de doorgifte van hun gegevens en de mogelijkheid moeten hebben om bezwaar te maken of hun rechten op inzage, rectificatie en verwijdering uit te oefenen. Het is ook cruciaal om de ondernemingsraad (OR) te betrekken, gezien de potentiële impact op de privacy van werknemers, conform artikel 25 WOR.

Mogelijke problemen kunnen ontstaan indien de TIA aantoont dat de Amerikaanse wetgeving onvoldoende bescherming biedt. In dat geval moet BloomTech aanvullende maatregelen treffen, zoals encryptie of pseudonimisering van de data, voordat de doorgifte kan plaatsvinden.

## Impact van Schrems II en Transfer Impact Assessments (TIA)

Het Schrems II-arrest van het Hof van Justitie van de Europese Unie (HvJEU) (zaak C-311/18) heeft een significante impact op internationale doorgiften van persoonsgegevens, met name naar de Verenigde Staten. Dit arrest stelde vast dat het Privacy Shield-mechanisme geen adequate bescherming bood, waardoor organisaties verplicht zijn om individueel te beoordelen of de wetgeving en praktijken in het ontvangende land een beschermingsniveau bieden dat in wezen gelijkwaardig is aan dat van de EU. Dit wordt gedaan door middel van een Transfer Impact Assessment (TIA).

Een TIA vereist een grondige analyse van de wetgeving en praktijken in het ontvangende land, inclusief toegang door overheidsinstanties tot persoonsgegevens. Dit omvat een beoordeling van surveillancewetgeving zoals FISA 702 en Executive Order 12333. De methodologie voor een TIA omvat documentatie van de doorgifte, identificatie van de betrokken persoonsgegevens, analyse van de relevante wetgeving in het ontvangende land en een beoordeling van de risico's voor de betrokkenen.

De documentatievereisten voor een TIA zijn uitgebreid en moeten aantonen dat de beoordeling zorgvuldig en objectief is uitgevoerd. Mogelijke maatregelen om de risico's te mitigeren, indien de TIA ontoereikende bescherming aantoont, omvatten het gebruik van state-of-the-art encryptie, pseudonimiseringstechnieken of het sluiten van Standard Contractual Clauses (SCC's) *met* aanvullende technische, contractuele en organisatorische maatregelen om de toegang van overheidsinstanties te beperken en de rechten van betrokkenen te waarborgen.

## Toekomstperspectief 2026-2030

De periode 2026-2030 zal ongetwijfeld aanzienlijke veranderingen brengen in het landschap van internationale doorgiften van persoonsgegevens. Nieuwe technologieën zoals AI en blockchain zullen zowel kansen als uitdagingen creëren. AI kan bijvoorbeeld worden ingezet voor het automatiseren van complianceprocessen, terwijl blockchain een rol kan spelen bij het waarborgen van transparantie en controle over datastromen. Tegelijkertijd kunnen deze technologieën nieuwe risico's introduceren met betrekking tot privacy en beveiliging.

Regelgeving zal zich ongetwijfeld verder ontwikkelen. De EU zal mogelijk nieuwe adequaatheidsbeslissingen nemen, afhankelijk van de politieke en juridische ontwikkelingen in derde landen. De impact van geopolitieke spanningen op datastromen mag niet worden onderschat. Bedrijven dienen de ontwikkelingen rondom de Digital Services Act (DSA) en de Digital Markets Act (DMA) nauwlettend in de gaten te houden, aangezien deze indirecte invloed kunnen uitoefenen op internationale doorgiften.

Aanbevelingen voor bedrijven:

• Blijf alert: Monitor voortdurend de ontwikkelingen op het gebied van technologie, regelgeving en geopolitiek.
• Investeer in innovatie: Onderzoek en implementeer privacy-enhancing technologies (PETs) zoals state-of-the-art encryptie en pseudonimisering.
• Versterk governance: Herzie en verbeter de interne data governance processen, inclusief de TIA-methodologie (Transfer Impact Assessment) zoals beschreven in de vorige secties. Wees voorbereid op de noodzaak om naast SCC’s ook aanvullende maatregelen te implementeren om te voldoen aan Artikel 46 GDPR.