Wanneer je binnen je onderzoek samenwerkt met onderzoekers, partners of instellingen gevestigd in een ander land, binnen of buiten de EU, moet je aandachtig zijn bij het toegankelijk maken, doorgeven en uitwisselen van persoonsgegevens. Dit geldt ook wanneer je beroep doet op  verwerkers of onderaannemers, zoals bijvoorbeeld voor het afnemen van online vragenlijsten via Qualtrics (verwerker gevestigd in de V.S.). Bovendien is dit niet enkel van toepassing bij samenwerkingen, maar ook bij loutere doorgifte van persoonsgegevens.

Doorgifte van persoonsgegevens naar een ander land binnen de EU, Noorwegen, IJsland of Liechtenstein (EER)

De AVG zorgt voor een uniformisering van het privacybeleid binnen de EU waardoor er vrij verkeer van persoonsgegevens binnen de lidstaten van de EU, Noorwegen, IJsland en Liechtenstein mogelijk is. Indien je samenwerkt met onderzoekers, partners of instellingen gevestigd binnen de EU, Noorwegen, IJsland of Liechtenstein, of met hen persoonsgegevens wilt uitwisselen, heb je enkel een verwerkingsovereenkomst (of 'data processing agreement') nodig om de toegang, doorgifte of uitwisseling van persoonsgegevens correct vast te leggen. Je kan hiervoor contact opnemen met de juridische ondersteuningsdienst van TechTransfer. 

Naast het opstellen van een verwerkingsovereenkomst, dien je ook steeds de algemene beginselen van de AVG te respecteren (onder meer rechtmatigheid, zie hieronder bij 'aandachtspunten').

Doorgifte van persoonsgegevens naar een land buiten de EER of naar internationale organisaties

Het toegankelijk maken, doorgeven en uitwisselen van persoonsgegevens naar landen buiten de EER of internationale organisaties is enkel toegestaan indien het land of de organisatie in kwestie een “passend beschermingsniveau” kan garanderen voor de verwerking van persoonsgegevens. Indien het beschermingsniveau van het land of de organisatie als passend beschouwd kan worden, kan de doorgifte gebeuren alsof het ging om een doorgifte binnen de EER.

1. Doorgifte van persoonsgegevens naar landen buiten de EER waarvoor een adequaatheidsbesluit geldt      

De Europese Commissie gaf aan een aantal landen reeds een adequaatheidsbesluit waarmee bevestigd wordt dat het land een passend beschermingsniveau kent. De meeste recente lijst met landen is hier terug te vinden.

Voor het Verenigd Koninkrijk werd op 28 juni 2021 een adequaatheidsbesluit aangenomen door de Europese Commissie. Dit besluit zal naar verwachting duren tot 27 juni 2025. Dit betekent dat je, tot 27 juni 2025, gegevens kunt uitwisselen met het Verenigd Koninkrijk. Niettemin moeten altijd de algemene beginselen van de AVG (zoals de eerbiedinging van de rechtmatigheid, verenigbaarheid van de doorgifte met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen) gerespecteerd worden.

Voor de Verenigde Staten werd op 10 juli 2023 een adequaatheidsbesluit, het EU-VS Data Privacy Framework, aangenomen door de Europese Commissie voor Amerikaanse bedrijven die deelnemen aan het EU-VS Data Privacy Framework. Dit betekent dat er vrijelijk gegevens kunnen stromen naar bedrijven in de Verenigde Staten die deelnemen aan het Data Privacy Framework. Een lijst van de bedrijven die deelnemen aan het Data Privacy Framework kan je hier vinden. Niettemin moeten altijd de algemene beginselen van de AVG (zoals de eerbiediging van de rechtmatigheid, verenigbaarheid van de doorgifte met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen) gerespecteerd worden.

Voor doorgifte van onderzoeksgegevens met betrekking tot farmaceutische en medische producten gelden er aanvullende voorwaarden.

Opgelet! Elke overdracht of doorgifte van persoonsgegevens dient steeds contractueel vastgelegd te worden, bijvoorbeeld in een verwerkingsovereenkomst. Je kan hiervoor contact opnemen met de juridische ondersteuningsdienst van TechTransfer.  

2. Doorgifte van persoonsgegevens naar landen buiten de EER waarvoor GEEN adequaatheidsbesluit bestaat

Indien een land niet op de lijst met adequaatheidsbesluiten staat, is de doorgifte van persoonsgegevens enkel mogelijk in een van volgende gevallen:

• Het gebruik van standaardbepalingen in een overeenkomst/contract tussen de eigen instelling/organisatie en de ontvangende instelling/organisatie (ook de 'standard contractual clauses' genoemd). Deze clausules maken een doorgifte naar een land mogelijk door het voorzien van passende bescherming via een overeenkomst.
• Het gaat om een uitzonderingssituatie die limitatief gemotiveerd dient te worden zoals opgesomd in de AVG zelf  (artikel 49  AVG). Zoals het vragen van expliciete toestemming aan de betrokkenen voor de incidentele doorgifte van data. Hierbij moet aan de betrokkenen ook gemeld worden welke risico’s deze doorgifte eventueel voor hem/haar kunnen inhouden.

Voor doorgifte naar bedrijven in de Verenigde Staten die niet deelnemen aan het Data Privacy Framework kunnen doorgiften vanuit de UGent momenteel enkel plaatsvinden door beroep te doen op standard contractual clauses of op de uitzonderingen van artikel 49 (niet voor structurele doorgiftes). Bijkomend dienen er, naar aanleiding van de Schrems II-rechtspraak, voor doorgifte van persoonsgegevens naar de V.S. specifieke aanvullende maatregelen voorhanden te zijn. Welke aanvullende maatregelen mogelijk zijn, beschreef de European Data Protection Board in haar Aanbevelingen 01/2020 inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen (zoals encryptie en pseudonimiseren). 

Ook hier moeten de algemene beginselen van de AVG steeds gerespecteerd worden (zoals de eerbiediging van de rechtmatigheid, verenigbaarheid van de doorgifte met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen).

Opgelet! Elke overdracht of doorgifte dient steeds contractueel vastgelegd te worden, bijvoorbeeld in een verwerkingsovereenkomst. Je kan hiervoor contact opnemen met de juridische ondersteuningsdienst van TechtTransfer.

Het is belangrijk om zelf een inschatting te maken van de mogelijke risico’s voor de betrokkenen. Hierbij dien je rekening te houden met zowel de aard van de persoonsgegevens als de geboden waarborgen van de betreffende organisatie en de privacywetgeving die bestaat in het betreffende land.