Persoonsgegevens internationaal doorgeven is soms een riskante onderneming. Binnen Europa ben je er zeker van dat de AVG overal geldt en dat de lidstaten de nodige maatregelen zullen genomen hebben om hun werking conform de Europese norm te maken. Maar wat met landen buiten de Europa, zoals de VS of Rusland? En wat als ik samenwerk met een organisatie met meerdere vestigingen, zowel binnen als buiten Europa?
Waar is de AVG van toepassing?
De AVG is een Europese norm, wat betekent dat het op alle Europese lidstaten betrekking heeft. Als er dus persoonsgegevens worden uitgewisseld tussen Europese landen is de AVG voor alle betrokken partijen van toepassing. Bijkomende veiligheidsmaatregelen, naast de naleving van de AVG dan natuurlijk, zijn in principe niet nodig, aangezien het veiligheidsniveau van beide landen vergelijkbaar zal zijn.
Is de AVG de enige norm waar ik rekening moet mee houden? Of zijn er andere Europese regels die op privacy en, meer bepaald, persoonsgegevensbescherming een impact hebben?
Het is belangrijk te beseffen dat er naast de AVG ook andere Europese regelgevingen bestaan die de privacy van het individu waarborgen, nl.:
- 8 uit het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM);
- 8 van het Handvest Grondrechten van de EU;
- het Dataprotectieverdrag van de Raad van Europa.
Inzake persoonsgegevensbescherming blijft de AVG de meest concrete, relevante norm.
Wat als ik persoonsgegevens doorgeef aan een derde land of organisatie dat zich buiten Europa bevindt?
Als je persoonsgegevens doorgeeft aan een internationale organisatie of een land buiten Europa, dan moet je je ervan vergewissen dat die organisatie/dat land hetzelfde veiligheidsniveau inzake persoonsgegevensbescherming kan garanderen als je eigen organisatie. Die inschatting wordt gemaakt door de Europese Commissie. Immers, als het veiligheidsniveau inzake dataverwerking vergelijkbaar is in beide landen, dan wordt het risico op datalekken geminimaliseerd. Nemen we als voorbeeld de VS. Daar zal de AVG uiteraard niet van toepassing zijn, maar er spelen wel andere privacywetten: losstaande wetten reguleren er de verschillende markten. Zo is er bijvoorbeeld de Federal Communications Commission (FCC) die vaststelt welke data serviceproviders mogen verkopen of doorverkopen. Data over gezondheid worden dan weer beschermd door de Federal Health Insurance Portability and Accountability Act (HIPAA). De Federal Trade Commission gaat over de Children’s Online Privacy Protection Act. En dan laten we nog buiten beschouwing dat bovendien in elke staat een andere wetgeving actief is. U ziet het: geen gemakkelijke klus om te bepalen of persoonsgegevensbescherming daar van een gelijkaardig niveau is als deze binnen Europa, maar de Europese Commissie kan die inschatting wel degelijk maken. Ook de DPO kan u intern helpen deze beoordeling te maken. Als uw veiligheidsmaatregelen groot zijn, maar die van de andere lidstaat niet, dan kan u bijkomende veiligheidsmaatregelen eisen van de tegenpartij om de informatieveiligheid te garanderen voor de betrokkene.
Als u samenwerkt met een organisatie die meerdere vestigingen heeft waarvan sommige buiten Europa, dan zegt de AVG dat je moet nagaan waar de hoofdzetel zich bevindt, of als deze niet bestaat, moet bepalen waar in welke vestiging beslissingen omtrent gegevensverwerkingen worden genomen.
De verwerkingsverantwoordelijke (= uw organisatie) moet er in ieder geval op toezien dat de persoonsgegevens van Europese burgers wordt gewaarborgd op een manier conform de AVG/GDPR. Een scenario dat je wil vermijden is dat een van je verwerkers een subverwerker aanstelt, maar jou als verwerkingsverantwoordelijke niet inlicht (bv. door te stellen dat ze de namen niet delen van hun subverwerkers). Als zo’n subverwerker toevallig een organisatie is buiten Europa, en er volgt een datalek (en dit scenario heeft zich al degelijk voorgedaan bij bepaalde lokale besturen), dan zal de subverwerker dit melden aan de verwerker, en deze op zijn beurt aan jou als verwerkingsverantwoordelijke. Daarna moet je het lek melden aan de Gegevensbeschermingsautoriteit, en het kaderen. Als je op dit punt je al op zo’n scenario voorzien zou hebben, dan dek je jezelf al (deels) in als verwerkingsverantwoordelijke. De AVG bepaalt dat je als verwerkingsverantwoordelijke op de hoogte moet zijn van alle risico’s rond jouw dataverwerking, incl. het feit dat er niet-Europese subverwerkers zijn aangesteld (deze moeten immers bijkomende maatregelen treffen om hun veiligheidsniveau gelijk te krijgen met dat van de AVG). Je moet kunnen verantwoorden, indien daarnaar gevraagd wordt, waarom een dergelijk risico niet werd aangekaart. Samenwerken met verwerkers is ook goede afspraken maken en transparant zijn rond het invullen van de opdrachten.
Dus kortom, wat zijn de tips van V-ICT-OR?
- Zorg ervoor dat je alle verwerkers goed bijhoudt in het verwerkingsregister.
- Zorg er eveneens voor dat je de subverwerkers van die verwerkers in dat register bijhoudt.
- Als er verwerkers of subverwerkers buiten Europa gelegen zijn, laat hen dan bijkomende veiligheidsmaatregelen nemen om persoonsgegevensbescherming te garanderen (vbn.: encryptie, multi-factor authenticatie, logische toegangscontrole, fysische toegangscontrole, pseudonimisering…).
- Als je samenwerkt met internationale organisaties, zorg er dan voor dat je weet wat de hoofdvestiging is of, indien die niet bestaat, waar de vestiging ligt die beslissingen neemt inzake persoonsgegevensverwerking (binnen of buiten Europa) + neem indien nodige bijkomende veiligheidsmaatregelen.
- Ga ook steeds na waar het datacenter van uw cloudprovider gelegen is. Als dit buiten Europa is, dan moet je zorgen dat de persoonsgegevensbescherming van de data zowel in België als in het niet-Europees land van gelijkaardig niveau is.
Ons premiumlidmaatschap stelt je ook in staat begeleiding op maat te krijgen m.b.t. deze stap.