Mag ik persoonsgegevens buiten de EU opslaan?

persoonsgegevens buiten de EU

We krijgen best wat vragen over dit onderwerp. Ondernemers willen weten of ze persoonsgegevens mogen opslaan buiten de Europese Unie.

Maar waarom zou je persoonsgegevens opslaan buiten de EU? Dat heeft er vooral mee te maken dat je soms gebruikmaakt van systemen, bijvoorbeeld een klantregistratie- of marketingsysteem waarvan de servers in de Verenigde Staten staan. Je hebt dan zelf helemaal niet door dat dit gebeurt. Maar het is wel je verantwoordelijkheid als ondernemer om hierop te letten.

Check waar de gegevens staan

Allereerst is het advies voor elke ondernemer: als je gebruikmaakt van een softwaresysteem, zoek dan uit waar de persoonsgegevens fysiek worden opgeslagen. Je kunt dit gewoon vragen aan je leverancier. Vaak bieden zij een keuzemogelijkheid: een server in Europa of een server buiten Europa.

Als je leverancier de persoonsgegevens opslaat buiten Europa, dan moet je je wel verder informeren. Als de mogelijkheid bestaat om de gegevens te verhuizen naar Europa, dan is het advies om dat te doen. Bied jouw leverancier die mogelijkheid niet, dan kun je onderzoeken of er misschien andere afspraken zijn gemaakt met het land waarin jouw persoonsgegevens worden opgeslagen.

Dit zijn de regels

In principe is het volgens de Algemene Verordening Gegevensbescherming (AVG) wel toegestaan om persoonsgegevens buiten de Europese Unie (EU) op te slaan. Maar dan moet je aan bepaalde voorwaarden voldoen:

Is er een adequaatheidsbesluit?

Dit betekent dat persoonsgegevens kunnen worden overgedragen naar landen die door de Europese Commissie als “adequaat” worden beschouwd. In deze landen wordt een vergelijkbaar niveau van gegevensbescherming geboden als binnen de EU. De Europese Commissie heeft besloten dat de volgende landen een passend beschermingsniveau bieden:

Andorra, Argentinië, Canada (alleen commerciële organisaties), Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Verenigd Koninkrijk, Zwitserland, Zuid-Korea.

Zijn er passende waarborgen?

Als een land geen adequaatheidsbesluit heeft, kunnen persoonsgegevens nog steeds worden overgedragen als er passende waarborgen zijn. Een voorbeeld is dat je dan gebruikmaakt van modelcontractbepalingen (ook wel bekend als ‘standaardcontractbepalingen’) die door de Europese Commissie zijn vastgesteld goedgekeurd.

Bovendien is het belangrijk na te gaan of je boven op deze bepalingen nog aanvullende contractuele, organisatorische en/of technische (beveiligings)maatregelen moet nemen. Dat hangt af van de specifieke overdracht van persoonsgegevens naar een land buiten de EU.

Binding Corporate Rules (BCR)

Grote multinationals stellen soms zelf regels op over de bescherming van persoonsgegevens. Deze BCR’s moeten worden goedgekeurd door de bevoegde toezichthoudende autoriteiten.

Toestemming

In sommige gevallen kan de overdracht van persoonlijke gegevens buiten de EU plaatsvinden op basis van de expliciete toestemming van de betrokkenen. Het is belangrijk op te merken dat toestemming aan strikte vereisten moet voldoen om geldig te zijn onder de AVG.

Europese toezichthouders zijn zeer kritisch over doorgifte van persoonsgegevens naar de VS

En hoe zit het met de Verenigde Staten?

Voor de VS is er geen adequaatheidsbesluit. Dit was er wel, maar in juli 2020 heeft het Europees Hof van Justitie het zogenaamde EU-VS Privacy Shield-programma ongeldig verklaard (de Schrems II uitspraak). Je zult daarom moeten kijken naar de overige passende waarborgen zoals de standaardcontractbepalingen, BCR’s of toestemming. Kijk ook goed naar aanvullende maatregelen. Belangrijk te benadrukken is dat Europese toezichthouders zeer kritisch zijn over doorgifte van persoonsgegevens naar de VS. Een goed en recent voorbeeld is de megaboete van EUR 1,2 miljard voor Meta.

We adviseren om geen persoonsgegevens op te slaan in de VS. Er zijn grote verschillen in de bescherming van persoonsgegevens tussen de EU en de VS. Neem het zekere voor het onzekere en sla je gegevens op binnen de EU-grenzen.

Let op! Zelfs als je persoonsgegevens binnen de EU opslaat, dan nog is het belangrijk goed te kijken of niet op een andere manier persoonsgegevens worden doorgegeven naar buiten de EU. Denk hierbij aan remote access van medewerkers buiten de EU tot data en systemen in de EU. Maar ook aan situaties waarbij een leverancier gebruikmaakt van sub-leveranciers die zijn gevestigd in bijvoorbeeld de EU. Ook in deze situaties moet je aan de hiervoor genoemde voorwaarden voldoen.

Maarten Roelfs

Maarten Roelfs is voorzitter van de Stichting AVG. In de rubriek Ondernemersvragen beantwoordt hij vragen van ondernemers over privacy en de AVG.

Heb je ook een vraag over de AVG?

Stel hem via het contactformulier. Misschien verschijnt jouw vraag én ons antwoord dan in deze rubriek.

Meer nieuws

Mag je medische informatie onbeveiligd e-mailen?

Patiënten hebben soms moeite met het openen van beveiligde e-mails of zorgmail. Ze vragen dan of de informatie, zoals folders of behandelprotocollen, via een onbeveiligde e-mail kan worden verzonden. Hier staan in principe geen persoonsgegevens in. Maar mag dat wel? Lees meer

Hoe bewaar je persoonsgegevens op papier AVG-proof?

Een nieuwe medewerker van een van onze klanten stelde ons een vraag over het fysiek bewaren van persoonsgegevens. Is een afgesloten ruimte voldoende? Een kast? Lees meer

Hoe moeten we onze calamiteiten-map bewaren?

Een kinderopvang vroeg ons onlangs hoe ze het beste kunnen omgaan met de beveiliging van hun calamiteiten-map. Deze map bevindt zich in de centrale hal boven de brandslang en bevat belangrijke gegevens. Lees meer