info@pellicaan.nl
NLEN

Doorgifte van persoonsgegevens

Werk je internationaal samen? Dan deel je waarschijnlijk persoonsgegevens met andere partijen, zoals leveranciers, moederbedrijven, dochterbedrijven of dienstverleners buiten Nederland of de EU - bijvoorbeeld in de VS of China. De AVG stelt hiervoor duidelijke regels, zowel binnen als buiten de Europese Economische Ruimte (EER).

Op deze pagina lees je wanneer er sprake is van doorgifte, welke regels voor jouw organisatie gelden binnen en buiten de EER en wat het Data Privacy Framework betekent voor doorgifte naar de VS. Heb je specifieke vragen of behoefte aan persoonlijk advies? Ons privacyteam helpt je graag verder met oplossingen op maat.

Neem contact op

Over Pellicaan Advocaten

Ik heb een vraag over:

    Wanneer is er sprake van doorgifte van persoonsgegevens?

    Doorgifte betekent dat persoonsgegevens beschikbaar komen voor een andere partij buiten jouw eigen organisatie. Dat kan door gegevens actief te delen, maar ook door ze toegankelijk te maken, bijvoorbeeld via servers of medewerkers in een ander land. Denk hierbij ook aan interne toegang binnen een concern, bijvoorbeeld wanneer medewerkers van het moederbedrijf in India toegang hebben tot een Nederlands HR-systeem. 

    Binnen de Europese Economische Ruimte (EER) - EU-landen plus Noorwegen, IJsland en Liechtenstein - mag doorgifte vrij plaatsvinden. Je moet daarbij wel voldoen aan de algemene AVG-regels. Denk hierbij onder andere aan een geldige grondslag, dataminimalisatie (alleen de gegevens die echt nodig zijn) en het hanteren van passende bewaartermijnen.

    Worden persoonsgegevens buiten de EER gedeeld? Dan gelden er extra voorwaarden. Niet elk land kent immers hetzelfde beschermingsniveau als de AVG. Doorgifte is dan alleen toegestaan als het ontvangende land of de ontvangende organisatie kan aantonen dat er een vergelijkbaar niveau van bescherming wordt geboden.

    Hoe regel je doorgifte buiten de EER (derde landen)?

    1. Adequaatheidsbesluit

    De Europese Commissie kan vaststellen dat een land of sector een vergelijkbaar beschermingsniveau biedt als de AVG. In dat geval mag je persoonsgegevens daarheen doorgeven zonder extra maatregelen. Voorbeelden zijn het Verenigd Koninkrijk, Zwitserland, Japan en Zuid-Korea. Op de website van de Europese Commissie vind je de volledige lijst met adequaatheidsbesluiten.

    Ook de Verenigde Staten vallen hieronder, maar alleen voor organisaties die zijn aangesloten bij het EU–US Data Privacy Framework (DPF). Controleer dus altijd of de Amerikaanse partij daadwerkelijk gecertificeerd is en of de dienst of het product dat je gebruikt onder die certificering valt. Is dat niet het geval, dan moet je alsnog een ander instrument inzetten, zoals hieronder besproken.

    2. Passende waarborgen

    Is er geen adequaatheidsbesluit, dan kan doorgifte plaatsvinden als je zelf passende waarborgen regelt. Daarmee laat je zien dat persoonsgegevens ook buiten de EER goed beschermd blijven. Mogelijkheden zijn:

    • Standaardcontractbepalingen (SCC’s): door de Europese Commissie vastgestelde modelcontracten die je kunt opnemen in afspraken met de ontvangende partij. Deze clausules zorgen ervoor dat dezelfde basisbescherming geldt als binnen de EER.
    • Binding Corporate Rules (BCR’s): interne regels die gelden binnen een internationaal concern. Hiermee wordt vastgelegd hoe persoonsgegevens wereldwijd binnen de groep worden beschermd. BCR’s moeten vooraf door de toezichthouder worden goedgekeurd.
    • Gedragscode of certificering: sectorbrede afspraken of een erkend keurmerk, gecombineerd met bindende toezeggingen van de ontvangende partij om de regels na te leven.
    • Ad-hoc-contractbepalingen: zelf opgestelde contractclausules die voldoende bescherming bieden. Deze moeten vooraf goedgekeurd zijn door de nationale toezichthouder.

    Let op: sinds het Schrems II-arrest (2020) geldt dat deze waarborgen niet altijd genoeg zijn. Als organisatie moet je per geval beoordelen of de wet- en regelgeving in het ontvangende land de bescherming niet ondermijnt. Denk bijvoorbeeld aan wetten die overheden ruime toegang tot gegevens geven. Soms zijn daarom aanvullende maatregelen nodig, zoals versleuteling of pseudonimisering. De Europese toezichthouders (EDPB) hebben hiervoor aanbevelingen aangenomen. 

    Het beoordelen van deze risico’s en het vastleggen van passende afspraken vraagt vaak juridische precisie. Onze specialisten helpen jouw organisatie bij het opstellen en beoordelen van SCC’s, BCR’s en andere contracten.

    Actueel voorbeeld

    In 2024 kreeg Uber een boete van € 290 miljoen van de Autoriteit Persoonsgegevens. Het bedrijf had ruim twee jaar persoonsgegevens van Europese chauffeurs naar de VS doorgegeven zonder de juiste waarborgen. De AP beschouwde dit als een ernstige schending van de AVG. 

    Dit voorbeeld laat zien hoe belangrijk het is om doorgifte buiten de EER zorgvuldig te regelen en om altijd te controleren of je gekozen instrumenten écht voldoende bescherming bieden. Lees hier meer over deze zaak.

    3. Uitzonderingen

    Als er geen adequaatheidsbesluit is en passende waarborgen ontbreken, kun je soms toch persoonsgegevens doorgeven op basis van de uitzonderingen in artikel 49 AVG. Deze route is bedoeld voor specifieke en incidentele situaties, niet voor structurele of grootschalige doorgifte.

    Voorbeelden zijn:

    • De betrokkene heeft uitdrukkelijk en geïnformeerd toestemming gegeven voor de doorgifte. Bij werknemers is deze toestemming meestal niet geldig, omdat er door de gezagsverhouding geen sprake is van volledig vrije toestemming. In de arbeidsrelatie zal daarom vrijwel altijd een andere grondslag of een passend waarborginstrument nodig zijn.
    • Er is een belangrijke reden van algemeen belang, zoals samenwerking bij internationale opsporing.
    • De doorgifte is nodig voor de onderbouwing van een rechtsvordering.

    Gebruik deze uitzondering alleen als laatste redmiddel. Voor structurele gegevensstromen moet je altijd zoeken naar een adequaatheidsbesluit of passende waarborgen.

    Overweeg je een beroep te doen op een uitzondering? Laat je goed adviseren: een verkeerde inschatting kan leiden tot overtreding van de AVG. Onze specialisten staan voor je klaar.

    Voorbeeld uit onze rechtspraktijk

    Een Nederlands bedrijf dat onderdeel is van een internationaal concern met een moedervennootschap in China wilde bij de werving voor internationale functies cv’s en motivatiebrieven doorsturen naar het hoofdkantoor. De vraag was of dit op grond van de AVG is toegestaan en onder welke voorwaarden.

    Omdat China géén land is waarvoor een adequaatheidsbesluit geldt, moest de doorgifte worden afgedekt met passende waarborgen. Alleen op die manier kon een passend beschermingsniveau worden gegarandeerd. Onze specialisten hebben de cliënt geadviseerd welke instrumenten hiervoor geschikt zijn en hoe deze in de praktijk het beste kunnen worden toegepast.

    Pellicaan Advocaten: jouw partner bij doorgifte van persoonsgegevens

    Doorgifte van persoonsgegevens roept vaak lastige vragen op. Welke regels gelden, welke waarborgen zijn nodig en hoe leg je afspraken goed vast? Ons privacyteam helpt je met praktisch en juridisch advies, zodat je persoonsgegevens veilig én in lijn met de AVG kunt doorgeven. 

    Wij helpen bij:

    • Een AVG-compliance check met focus op internationale doorgifte.
    • Het opstellen van privacyverklaringen en andere documenten waarin doorgifte wordt geregeld.
    • Het opstellen en beoordelen van verwerkersovereenkomsten met partijen buiten de EER.
    • Het opstellen en beoordelen van IT-contracten waarin afspraken over gegevensopslag en -doorgifte zijn vastgelegd. 
    • De juridische beoordeling van contracten, SCC’s en Binding Corporate Rules.
    • Het opstellen van privacybeleid en interne documenten over gegevensstromen.
    • Begeleiding bij een Data Protection Impact Assessment (DPIA), wanneer dit op grond van de AVG verplicht is, bijvoorbeeld bij verwerkingen met een hoog risico.
    • Damage control en juridische procedures bij geschillen of onderzoeken.

    Zit je met een ander privacyvraagstuk? We denken graag met je mee tijdens een vrijblijvend gesprek. Of lees wat we nog meer voor je kunnen betekenen op het gebied van privacy.

    Neem contact op voor een vrijblijvend gesprek

    Kunnen we je helpen op het gebied van doorgifte van persoonsgegevens of een ander privacyvraagstuk? Of heb je een vraag over onze dienstverlening? Neem contact met ons op voor een vrijblijvend gesprek, bij jou op locatie of bij ons op kantoor. Wij luisteren naar jouw situatie en denken graag met jou mee over de beste aanpak.

    Neem contact op

    Terug naar expertise Privacy & IT-recht

    Onze specialisten

    Elif Barioglu, RotterdamCaro Mennen, AmsterdamXander Alders, RotterdamLisanne Wigboldus, Amsterdam

    DisclaimerAlgemene voorwaardenPrivacystatement

    Enflow