De nieuwe AVG: wat gebeurt er buiten de EU?
Met de inwerkingtreding van de nieuwe AVG op 25 mei 2018 zullen de gegevensbescherming voorschriften niet alleen van toepassing zijn op bedrijven binnen de EU. Ook buiten de EU heeft de AVG gedeeltelijk effect zodra persoonsgegevens van in de EU-gevestigde betrokkenen worden verwerkt.
Maar waarom is gegevensbescherming zo belangrijk?
Wat is het doel van de nieuwe EU wetgeving voor gegevensbescherming? En waarom is er eigenlijk besloten om over te schakelen naar de AVG?
Tot nu toe wordt het recht inzake gegevensbescherming in de afzonderlijke lidstaten van de Europese Unie verschillend behandeld. De bestaande EU-richtlijnen in de diverse staten geven de respectieve nationale wetgevers veel ruimte om de richtlijnen zelf om te zetten.
De basisverordening gegevensbescherming harmoniseert het gegevensbeschermingsrecht in heel Europa en zorgt er daarmee voor dat overal een vergelijkbaar niveau van gegevensbescherming wordt gewaarborgd.
In dit artikel, in samenwerking met onze gegevensbescherming functionaris en juridisch adviseur David Fiebelkorn, leest u wat de AVG betekent voor samenwerkingen met bedrijven in niet-EU staten zoals Zwitserland en de Verenigde Staten.
Voor welke landen is de AVG van invloed?
De AVG is al sinds 24 mei 2016 van kracht. Sinds dit moment is de overgangsperiode van start gegaan waarin zowel de nieuwe privacywet als de bestaande Wbp van toepassing zijn.
De betrokken landen zijn in eerste instantie alle lidstaten van de Europese Unie. Het geografische toepassingsgebied van de AVG gaat echter veel verder. Overeenkomstig artikel 3, lid 2, is de AVG ook op buiten de Europese Unie gevestigde ondernemingen onder de daarin gestelde voorwaarden van toepassing.
Wat betekent de AVG voor internationale gegevensoverdracht?
Voor zover persoonsgegevens worden verwerkt door betrokkenen binnen de EU, moeten ook buiten de EU gevestigde bedrijven hun bedrijfsprocessen omzetten naar de AVG eisen. Dit geldt echter alleen indien de betrokken onderneming in de EU haar goederen en diensten aan de betrokkenen aanbiedt of het gedrag van de betrokkenen (bv. op het gebied van marktonderzoek) in acht neemt.
Wat is een derde land zoals gedefinieerd door de AVG?
Derde landen zijn landen die geen lid zijn van de Europese Unie. In de toekomst zal Engeland bijvoorbeeld ook worden beschouwd als een derde land op grond van het recht inzake gegevensbescherming.
Een ander voorbeeld is Zwitserland.
Welke gevolgen heeft de AVG voor bedrijven in Zwitserland of voor bedrijven in de EU die samenwerken met Zwitserse bedrijven?
Allereerst moeten de vereisten van artikel 45 in acht worden genomen. Dit artikel toont dat gegevens alleen kunnen worden doorgegeven aan een derde land waarvoor de Europese Commissie een zogenaamd passendheidsbesluit heeft genomen.
In dit besluit wordt bepaald dat het betrokken derde land een passend beschermingsniveau biedt op grond van de wetgeving inzake gegevensbescherming.
In Zwitserland bestaat een dergelijk besluit en is de gegevensverzending van persoonsgegevens naar Zwitserland in principe mogelijk overeenkomstig met artikel 45 van de AVG.
Daarnaast is een dergelijk besluit ook genomen voor onder andere de volgende landen:
- Argentinië
- Andorra
- Canada
- Nieuw-Zeeland
- Israël
- Faeröer eilanden
- Uruguay
Is gegevensverwerking met een dienstverlener uit de VS over het algemeen niet toegestaan?
Naast het vestigingsbeginsel van de AVG kan het gebruik van een Amerikaanse dienstverlener onder bepaalde omstandigheden worden toegestaan.
De Amerikaanse dienstverlener moet worden overwogen op basis van de Privacy Shields EU-VS. De Europese Commissie heeft besloten dat dit privacyschild tussen de EU en de VS overeenkomt met het vereiste EU-niveau van gegevensbescherming.
De gecertificeerde Amerikaanse bedrijven staan vermeld op de website https://www.privacyshield.gov. De aldaar genoteerde ondernemingen kunnen ook worden gebruikt voor gegevensverwerking binnen de VS.
Dit gaat echter wel gepaard met enkele nadelen.
Het is bijvoorbeeld mogelijk dat er buiten de Europese Unie juridische geschillen moeten worden beslecht en dat er aansprakelijkheid kan ontstaan op grond van het Amerikaanse recht.
Bovendien is het soms ook eenvoudiger om binnen de Europese Unie van leverancier te veranderen.
Vanuit het oogpunt van gegevensbescherming wordt het gebruik van een Europese aanbieder met een uniform niveau van gegevensbescherming daarom aanbevolen.
