Japan en het adequaatheidsbesluit
De Europese Commissie heeft op 23 januari het adequaatheidsbesluit met Japan vastgesteld. Dit betekent dat Japan een gelijkwaardig beschermingsniveau hanteert voor persoonsgegevens als onder de Algemene Verordening Gegevensbescherming (AVG). Een gelijkwaardig beschermingsniveau hoeft niet identiek te zijn aan het beschermingsniveau onder de AVG. Uitgangspunt is dat de standaarden die gehanteerd worden door het desbetreffende land zorgen voor een voldoende niveau van bescherming van persoonsgegevens.
Een voorbeeld van een verschil tussen de AVG en de APPI (dit is de Japanse privacywetgeving en staat voor Act on the Protection of Personal Information) is bijvoorbeeld dat Japan een andere interpretatie heeft van anonimiseren. Pseudonimiseren valt onder de Japanse privacywetgeving onder anonimiseren. Om een aantal verschillen in de wetgeving te overbruggen zijn er aanvullende regels vastgesteld. Daarnaast geldt het adequaatheidsbesluit met Japan niet voor bijvoorbeeld academische instituten voor zover ze persoonlijke gegevens verwerken ten behoeve van academische studies. En niet voor religieuze en politieke organisaties wanneer persoonsgegevens worden verwerkt voor de religieuze en politieke activiteiten.
In deze blog ga ik verder in op wat derde landen zijn, wat een overdracht van persoonsgegevens en een adequaatheidsbesluit nou precies inhoudt en welke andere mogelijkheden je als organisatie hebt om ervoor te zorgen dat de verstrekking van persoonsgegeven buiten de Europese Economische Ruimte (Alle Europese landen en Liechtenstein, Noorwegen en IJsland, hierna EER) met voldoende waarborgen gebeurt.
Derde landen
Wanneer organisaties persoonsgegevens buiten de EER willen overdragen moeten organisaties ervoor zorgen dat er goede afspraken worden gemaakt om de bescherming van de persoonsgegevens te waarborgen. Dit kan bijvoorbeeld met extra contractuele afspraken of met binding corporate rules. Daarnaast is de overdracht van persoonsgegevens met voldoende waarborgen mogelijk wanneer een land een adequaatheidsbesluit heeft.
Overdragen van persoonsgegevens
Het overdragen van persoonsgegevens klinkt nogal abstract. Het overdragen van persoonsgegevens betekent eigenlijk 'alle verstrekkingen aan partijen buiten de EER'. Hierbij kan het gaan om het versturen van gegevens van medewerkers naar de moedermaatschappij in India, het gebruiken van een online marketing tool van een externe partij die de database of back-up in de Verenigde Staten heeft, of de verkoop van persoonsgegevens aan klanten buiten de EER.
Adequaatheidsbesluit
De Europese Commissie heeft op haar website een lijst van landen gepubliceerd waarvoor de Europese Commissie een adequaatheidsbesluit heeft vastgesteld. Het gaat om de volgende landen: Andorra, Argentinië, Canada (alleen private partijen), Farao eilanden, Guernsey, Israel, Isle of Man, Jersey, Nieuw-Zeeland, Zwitserland, Uruguay en de bedrijven uit de Verenigde Staten die zijn aangesloten bij het Privacy Shield. Op dit moment staat het Privacy Shield ter discussie. Het Europese Parlement heeft geoordeeld dat het Privacy Shield niet voldoende waarborgen biedt voor de bescherming van persoonsgegevens zoals dat vereist is onder de AVG. Wanneer je samenwerkt met een bedrijf uit de VS is het dus aan te raden om een contract als alternatief te overwegen.
Wanneer je als organisatie persoonsgegevens verstrekt aan een land met een adequaatheidsbesluit dan zijn de normale vereisten onder de AVG van toepassing. Het adequaatheidsbesluit zorgt ervoor dat er geen extra maatregelen genomen hoeven te worden tussen de partijen om de bescherming van persoonsgegevens te waarborgen.
Het volgende land dat het lijstje van adequaatheidsbesluiten gaat aanvullen is waarschijnlijk Zuid-Korea. Heb je vragen over deze blog, over binding corporate rules of extra contractuele afspraken die gemaakt moeten worden tussen partijen? Neem dan contact met ons op!
