De AVG biedt meerdere transfer tools voor de gegevensuitwisseling met landen buiten de EER. Lees hier meer over de transfer tool 'adequaatheidsbesluit'.
Binnen EER = geen aanvullende maatregelen
Binnen de Europese Economische Ruimte (EER) mogen persoonsgegevens vrij worden uitgewisseld tussen verschillende landen. Voor de gegevensuitwisseling gelden bovenop de standaard AVG-voorwaarden geen aanvullende voorwaarden.
Buiten EER = transfer tools
Voor de gegevensuitwisseling vanuit de EER met landen buiten de EER (derde landen) gelden wel aanvullende voorwaarden. Deze voorwaarden zijn in hoofdstuk 5 van de AVG opgenomen. Twijfel je of hoofdstuk 5 AVG van toepassing is? Lees dan deze blog over internationale gegevensuitwisseling.
Uit hoofdstuk 5 AVG volgt dat een verwerkingsverantwoordelijke voor de gegevensuitwisseling een grondslag nodig heeft. De grondslagen wordt ook wel aangeduid als transfer tools.
Transfer tools
Op basis van onderstaande transfer tools mogen persoonsgegevens worden uitgewisseld met derde landen. Omdat de transfer tools vaak met de Engelse term worden aangeduid, staan die er ook bij.
- Adequaatheidsbesluit / adequacy desicion (art. 45 AVG)
- Standaardcontractbepalingen / Standard Contractual Clauses (art. 46 AVG)
- Bindende bedrijfsvoorschriften / Binding Corporate Rules (art. 47 AVG)
- Uitzonderingen / Exceptions (art. 49 AVG)
* Binnenkort verschijnen er ook blogs over de andere transfer tools
Adequaatheidsbesluit
De Europese Commissie beoordeelt of een derde land (of regio) een passend niveau van gegevensbescherming biedt. Wanneer dat het geval is, erkent de Europese Commissie het land als een 'veilig land'. De erkenning wordt vastgelegd in een adequaatheidsbesluit. Op basis van het adequaatheidsbesluit mogen persoonsgegevens met een derde land worden uitgewisseld.
Overzicht landen
Tot nu toe zijn er 15 landen en regio's waarvoor een adequaatheidsbesluit is vastgesteld (datum: 01-12-2023). Met deze landen mogen persoonsgegevens uitgewisseld worden. Het zijn de volgende landen:
- Andorra
- Argentinië
- Canada (commerciële organisaties)
- Faeröer
- Guernsey
- Israël
- Isle of Man
- Japan
- Jersey
- Nieuw-Zeeland
- Republiek Korea
- Zwitserland
- Verenigd Koninkrijk onder de AVG en de LED
- Verenigde Staten (commerciële organisaties die deelnemen aan het EU-VS Data Privacy Framework)
- Uruguay
Ontwikkelingen
De ontwikkelingen op het gebied van transfer tools volgen elkaar snel op. De belangrijkste ontwikkelingen in 2023 met betrekking tot het adequaatheidsbesluit zijn:
- de positieve review van het adequaatheidsbesluit voor Japan
- het adequaatheidsbesluit voor de Verenigde Staten
Zie voor een overzicht van alle ontwikkelingen: European Commission - Adequacy decision.
Vragen?
Heb je vragen over het adequaatheidsbesluit? Neem dan met mij of met een van mijn collega's van het privacyteam contact op.
Gerelateerd
Privacy
