Vraag
In de verwerkingsovereenkomst staat bij artikel 3 dat de verwerker persoonsgegevens mag verwerken in landen binnen de Europese Unie. Hoe zit dat met de AVG zoals we die in Nederland kennen?
Antwoord / toelichting
De AVG (Algemene Verordening Gegevensbescherming) is een Europese verordening die rechtstreeks geldt in alle lidstaten van de Europese Unie, dus ook in Nederland. Dat betekent dat de regels voor de verwerking van persoonsgegevens in alle EU-landen in de basis hetzelfde zijn.
Wanneer in een verwerkingsovereenkomst staat dat persoonsgegevens binnen de EU verwerkt mogen worden, is dat in principe in lijn met de AVG. Binnen de EU geldt namelijk een gelijkwaardig beschermingsniveau voor persoonsgegevens, omdat alle lidstaten aan dezelfde AVG-regels moeten voldoen.
Voor Nederland betekent dit dat:
-
De AVG gewoon van toepassing blijft, ook als de verwerking in een ander EU-land plaatsvindt.
-
Nederlandse organisaties verantwoordelijk blijven voor naleving van de AVG (bijvoorbeeld op het gebied van grondslagen, beveiliging en rechten van betrokkenen).
-
Toezicht kan plaatsvinden door de Autoriteit Persoonsgegevens (AP), maar ook door toezichthouders in andere EU-landen, afhankelijk van waar de verwerking feitelijk plaatsvindt (zogeheten ‘one-stop-shop’ mechanisme).
Het belangrijkste verschil ontstaat pas wanneer persoonsgegevens buiten de EU (zogeheten ‘derde landen’) worden verwerkt. In dat geval gelden aanvullende eisen, zoals:
-
Een adequaatheidsbesluit van de Europese Commissie, of
-
Passende waarborgen, zoals Standard Contractual Clauses (SCC’s).
Conclusie
Als de verwerkingsovereenkomst beperkt is tot verwerking binnen de EU, dan is dit volledig in overeenstemming met de AVG zoals die in Nederland geldt. De bescherming van persoonsgegevens blijft dan op hetzelfde niveau, ongeacht in welk EU-land de verwerking plaatsvindt.