Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Er is natuurlijk veel te doen over data die naar de Verenigde Staten kan gaan. Ik hoor echter nooit discussies over data die bijvoorbeeld naar India gaat. Wat zegt de AVG over andere landen buiten de EU?

Antwoord: Het gaat inderdaad vaak om de Verenigde Staten, maar juridisch gezien is de VS niet anders dan andere landen buiten de Europese Economische Ruimte: persoonsgegevens mogen daar niet naar toe, tenzij in de wet (de Algemene Verordening Gegevensbescherming) staat van wel.

De wet kent een aantal gronden waarop persoonsgegevens in een bepaald land mogen worden opgeslagen. De belangrijkste is dat de Europese Commissie heeft besloten dat landen "een passend beschermingsniveau waarborgen". Op dit moment zijn dit: Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten (alleen indien de betrokken Amerikaanse partij bij Privacy Shield is aangesloten) en Zwitserland.

Wil je gegevens in deze landen opslaan, of bedrijven daar iets laten doen met die gegevens, dan mag dat. (Natuurlijk moet je wel gewoon toestemming of andere grondslag voor de verwerking an sich hebben, en een verwerkersovereenkomst hebben gesloten, net zoals wanneer je een Europees bedrijf zou inschakelen.)

Voor andere landen is er nog de optie van "passende waarborgen", die er kort gezegd op neerkomen dat je als Europese partij hebt geborgd dat betrokken personen daadwerkelijk dezelfde bescherming krijgen als wanneer de data in de EU was opgeslagen. Als het bijvoorbeeld gaat om een Indiase dochter van een Europees concern, dan zijn zogeheten bindende bedrijfsvoorschriften (intra-concern contracten) goed genoeg.

Een andere optie zijn de zogeheten standaardbepalingen of "model clauses", door de EU voorgeschreven contractuele bepalingen die ook dergelijke waarborgen afdwingen. Wel blijf je als EU-partij verantwoordelijk voor de feitelijke naleving door die Indiase partij. En daar zit natuurlijk de pijn bij gebruik van niet-Europese partijen: hoe ga je die aansprakelijk stellen of schade verhalen als blijkt dat die contractuele regels niet meer waren dan mooie woorden?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.