AVG transfer tool: adequaatheidsbesluit

1 december 2023
De AVG biedt meerdere transfer tools voor de gegevensuitwisseling met landen buiten de EER. Lees hier meer over de transfer tool 'adequaatheidsbesluit'.
Dafne de Boer
Dafne de Boer
Advocaat - Senior
In dit artikel

De AVG biedt meerdere transfer tools voor de gegevensuitwisseling met landen buiten de EER. Lees hier meer over de transfer tool 'adequaatheidsbesluit'.

Binnen EER = geen aanvullende maatregelen

Binnen de Europese Economische Ruimte (EER) mogen persoonsgegevens vrij worden uitgewisseld tussen verschillende landen. Voor de gegevensuitwisseling gelden bovenop de standaard AVG-voorwaarden geen aanvullende voorwaarden.

Buiten EER = transfer tools

Voor de gegevensuitwisseling vanuit de EER met landen buiten de EER (derde landen) gelden wel aanvullende voorwaarden. Deze voorwaarden zijn in hoofdstuk 5 van de AVG opgenomen. Twijfel je of hoofdstuk 5 AVG van toepassing is? Lees dan deze blog over internationale gegevensuitwisseling.

Uit hoofdstuk 5 AVG volgt dat een verwerkingsverantwoordelijke voor de gegevensuitwisseling een grondslag nodig heeft. De grondslagen wordt ook wel aangeduid als transfer tools.

Transfer tools

Op basis van onderstaande transfer tools mogen persoonsgegevens worden uitgewisseld met derde landen. Omdat de transfer tools vaak met de Engelse term worden aangeduid, staan die er ook bij.

  • Adequaatheidsbesluit / adequacy desicion (art. 45 AVG)
  • Standaardcontractbepalingen / Standard Contractual Clauses (art. 46 AVG)
  • Bindende bedrijfsvoorschriften / Binding Corporate Rules (art. 47 AVG)
  • Uitzonderingen / Exceptions (art. 49 AVG)

* Binnenkort verschijnen er ook blogs over de andere transfer tools

Adequaatheidsbesluit

De Europese Commissie beoordeelt of een derde land (of regio) een passend niveau van gegevensbescherming biedt. Wanneer dat het geval is, erkent de Europese Commissie het land als een 'veilig land'. De erkenning wordt vastgelegd in een adequaatheidsbesluit. Op basis van het adequaatheidsbesluit mogen persoonsgegevens met een derde land worden uitgewisseld.

Overzicht landen

Tot nu toe zijn er 15 landen en regio's waarvoor een adequaatheidsbesluit is vastgesteld (datum: 01-12-2023). Met deze landen mogen persoonsgegevens uitgewisseld worden. Het zijn de volgende landen:

  • Andorra
  • Argentinië
  • Canada (commerciële organisaties)
  • Faeröer
  • Guernsey
  • Israël
  • Isle of Man
  • Japan
  • Jersey
  • Nieuw-Zeeland
  • Republiek Korea
  • Zwitserland
  • Verenigd Koninkrijk onder de AVG en de LED
  • Verenigde Staten (commerciële organisaties die deelnemen aan het EU-VS Data Privacy Framework)
  • Uruguay

Ontwikkelingen

De ontwikkelingen op het gebied van transfer tools volgen elkaar snel op. De belangrijkste ontwikkelingen in 2023 met betrekking tot het adequaatheidsbesluit zijn:

  • de positieve review van het adequaatheidsbesluit voor Japan
  • het adequaatheidsbesluit voor de Verenigde Staten

Zie voor een overzicht van alle ontwikkelingen: European Commission - Adequacy decision.

Vragen?

Heb je vragen over het adequaatheidsbesluit? Neem dan met mij of met een van mijn collega's van het privacyteam contact op.

Gerelateerd

Defensie en veiligheid - monitoring

Defensie & veiligheid: Verschillende aandachtspunten rondom extra investeringen in cyberveiligheid

Europabreed is onlangs besloten om tot 5% van het BBP in defensie en aanverwante sectoren te investeren. Er komt dus, stapsgewijs, zeer veel geld vrij in de...
Defensie en veiligheid - beveiligingscamera

Defensie & Veiligheid: investeren, innoveren en beschermen

Door toenemende geopolitieke spanningen hebben de NAVO landen recentelijk ingestemd met een nieuwe NAVO norm van 5% van het BBP. De Nederlandse defensie- en...

Gevangen in een Amerikaans Ecosysteem? Leveranciersafhankelijkheid in IT

Onze digitale infrastructuur draait grotendeels op Amerikaanse motoren. Van cloudopslag en e-mail tot bedrijfsapplicaties en beveiligingsoplossingen: de...

Hoe voorkom je een mismatch tussen een IT-leverancier en een klant?

De samenwerking tussen een IT-leverancier en een klant draait vaak om het realiseren van een technische oplossing die past bij de wensen van de klant. Toch...

Hoe ga je als IT-leverancier om met steeds strengere eisen en certificeringen?

Klanten zijn steeds kritischer op hun IT en hun data en dat sijpelt door naar de eisen die aan leveranciers worden gesteld. Discussies over...
FSV Belastingdienst: waarom compensatiebeleid privacyclaims niet oplost

FSV Belastingdienst: waarom compensatiebeleid privacyclaims niet oplost

Het is bij systemen waarmee persoonsgegevens worden verwerkt altijd zaak om vooraf goed na te denken over de inrichting daarvan. Zodra een systeem eenmaal in...
No posts found