Het verzenden van data naar Aruba, Sint Maarten, Curaçao en/of Caribisch Nederland

In de huidige digitale tijd is er sprake van steeds grotere internationale datastromen. Betreft het persoonsgegevens dan is de Algemene verordening gegevensbescherming (AVG) van toepassing. In een eerder bericht hebben wij reeds besproken hoe de AVG zich verhoudt tot Caribisch Nederland en de andere landen van het Koninkrijk (zie blog).

In deze posting zal nader worden ingegaan op de concrete punten waar op gelet dient te worden door bedrijven indien er persoonsgegevens worden gedeeld met partijen op Aruba, Sint Maarten, Curaçao en/of Caribisch Nederland (Bonaire, Sint-Eustatius en Saba).

Het informeren van betrokkenen
Iedere organisatie die persoonsgegevens verwerkt buiten de EER - de Europese Unie plus Noorwegen, Liechtenstein en IJsland - dient de betrokkene(n) hieromtrent te informeren. De informatie die gedeeld dient te worden met betrokkenen ziet op de passende waarborgen die door het betreffende bedrijf zijn getroffen om de privacy te waarborgen en de mogelijkheden voor betrokkenen om hierover meer informatie van het bedrijf te ontvangen.

Passende waarborgen
Is er sprake van het opslaan dan wel verwerken van persoonsgegevens in Caribisch Nederland en/of de andere landen van het Koninkrijk dan is het volgens de AVG een vereiste dat de privacy in deze landen/gebieden op een vergelijkbaar niveau liggen als binnen de EER. Dit kan op verschillende manieren zijn bewerkstelligd:

• Er is door de Europese Commissie een adequaatheidsbesluit genomen voor het betreffende land waarin is geoordeeld dat de privacy in het betreffende land voldoende is gewaarborgd. Op dit moment is er nog geen adequaatheidsbesluit genomen over Aruba, Sint Maarten, Curaçao en/of Caribisch Nederland. De verwachting is wel dat een dergelijk besluit in de toekomst genomen zal worden. Voor de eilanden Isle of Man en Guernsey, beiden Brits kroonbezit, zijn al wel adequaatheidsbesluiten genomen.

• Door middel van het maken van contractuele afspraken aan de hand van door de Europese Commissie opgestelde modelcontracten (Standard Data Protection Clauses).

• Door middel van het gebruik van bedrijfsinterne regels (Binding Corporate Rules) die zijn goedgekeurd door de nationale toezichthouder, in Nederland is dit de Autoriteit Persoonsgegevens.

De passende waarborgen zullen regelmatig dienen te worden gecontroleerd.

Maakt uw organisatie gebruik van verwerkers in Aruba, Sint Maarten, Curaçao en/of Caribisch Nederland? Zorg dan dat er passende waarborgen zijn genomen en betrokkenen van wie persoonsgegevens buiten de EER worden verwerkt zijn geïnformeerd. Bij vragen weet u ons te bereiken.

Maurits & Hömann | Privacy Professionals