In de huidige digitale tijd is er sprake van steeds grotere internationale datastromen. Betreft het persoonsgegevens
dan is de Algemene verordening gegevensbescherming (AVG) van toepassing. In een
eerder bericht hebben wij reeds besproken hoe de AVG zich verhoudt tot
Caribisch Nederland en de andere landen van het Koninkrijk (zie blog).
In deze posting zal nader worden ingegaan op de concrete punten waar op gelet
dient te worden door bedrijven indien er persoonsgegevens worden gedeeld met
partijen op Aruba, Sint Maarten, Curaçao en/of Caribisch Nederland (Bonaire, Sint-Eustatius
en Saba).
Het informeren van betrokkenen
Iedere organisatie die persoonsgegevens verwerkt buiten de EER - de Europese
Unie plus Noorwegen, Liechtenstein en IJsland - dient de betrokkene(n)
hieromtrent te informeren. De informatie die gedeeld dient te worden met
betrokkenen ziet op de passende waarborgen die door het betreffende bedrijf
zijn getroffen om de privacy te waarborgen en de mogelijkheden voor betrokkenen
om hierover meer informatie van het bedrijf te ontvangen.
Passende waarborgen
Is er sprake van het opslaan dan wel verwerken van persoonsgegevens in
Caribisch Nederland en/of de andere landen van het Koninkrijk dan is het
volgens de AVG een vereiste dat de privacy in deze landen/gebieden op een
vergelijkbaar niveau liggen als binnen de EER. Dit kan op verschillende
manieren zijn bewerkstelligd:
- Er
is door de Europese Commissie een adequaatheidsbesluit genomen voor het betreffende
land waarin is geoordeeld dat de privacy in het betreffende land voldoende is
gewaarborgd. Op dit moment is er nog geen adequaatheidsbesluit genomen over
Aruba, Sint Maarten, Curaçao en/of Caribisch Nederland. De verwachting is wel
dat een dergelijk besluit in de toekomst genomen zal worden. Voor de eilanden Isle
of Man en Guernsey, beiden Brits kroonbezit, zijn al wel adequaatheidsbesluiten
genomen.
- Door
middel van het maken van contractuele afspraken aan de hand van door de
Europese Commissie opgestelde modelcontracten (Standard Data Protection Clauses).
- Door
middel van het gebruik van bedrijfsinterne regels (Binding Corporate Rules) die
zijn goedgekeurd door de nationale toezichthouder, in Nederland is dit de
Autoriteit Persoonsgegevens.
De passende waarborgen
zullen regelmatig dienen te worden gecontroleerd.
Maakt uw
organisatie gebruik van verwerkers in Aruba, Sint Maarten, Curaçao en/of
Caribisch Nederland? Zorg dan dat er passende waarborgen zijn genomen en
betrokkenen van wie persoonsgegevens buiten de EER worden verwerkt zijn geïnformeerd.
Bij vragen weet u ons te bereiken.
Maurits & Hömann
| Privacy Professionals
