Wanneer je binnen je onderzoek samenwerkt met onderzoekers, partners of instellingen gevestigd in een ander land, binnen of buiten de EU, moet je aandachtig zijn bij het toegankelijk maken, doorgeven en uitwisselen van persoonsgegevens. Dit geldt ook wanneer je beroep doet op  verwerkers of onderaannemers, zoals bijvoorbeeld voor het afnemen van online vragenlijsten via Qualtrics (verwerker gevestigd in de V.S.). Bovendien is dit niet enkel van toepassing bij samenwerkingen, maar ook bij loutere doorgifte van persoonsgegevens.

Doorgifte van persoonsgegevens naar een ander land binnen de EU, Noorwegen, IJsland of Liechtenstein (EER)

De AVG zorgt voor een uniformisering van het privacybeleid binnen de EU waardoor er vrij verkeer van persoonsgegevens binnen de lidstaten van de EU, Noorwegen, IJsland en Liechtenstein mogelijk is. Indien je samenwerkt met onderzoekers, partners of instellingen gevestigd binnen de EU, Noorwegen, IJsland of Liechtenstein, of met hen persoonsgegevens wilt uitwisselen, heb je enkel een verwerkingsovereenkomst (of 'data processing agreement') nodig om de toegang, doorgifte of uitwisseling van persoonsgegevens correct vast te leggen. Je kan hiervoor contact opnemen met de juridische ondersteuningsdienst van TechTransfer. 

Naast het opstellen van een verwerkingsovereenkomst, dien je ook steeds de algemene beginselen van de AVG te respecteren (onder meer rechtmatigheid, zie hieronder bij 'aandachtspunten').

Doorgifte van persoonsgegevens naar een land buiten de EER of naar internationale organisaties

Het toegankelijk maken, doorgeven en uitwisselen van persoonsgegevens naar landen buiten de EER of internationale organisaties is enkel toegestaan indien het land of de organisatie in kwestie een “passend beschermingsniveau” kan garanderen voor de verwerking van persoonsgegevens. Indien het beschermingsniveau van het land of de organisatie als passend beschouwd kan worden, kan de doorgifte gebeuren alsof het ging om een doorgifte binnen de EER.

1. Doorgifte van persoonsgegevens naar landen buiten de EER waarvoor een adequaatheidsbesluit geldt      

De Europese Commissie gaf aan een aantal landen reeds een adequaatheidsbesluit waarmee bevestigd wordt dat het land een passend beschermingsniveau kent. De meeste recente lijst met landen is hier terug te vinden.

Voor het Verengigd Koninkrijk werd op 28 juni 2021 een adequaatheidsbesluit aangenomen door de Europese Commissie. Dit besluit zal naar verwachting duren tot 27 juni 2025. Dit betekent dat je, tot 27 juni 2025, gegevens kunt uitwisselen met het Verenig Koninkrijk. Niettemin moeten altijd de algemene beginselen van de AVG gerespecteerd worden.

Opgelet! Elke overdracht of doorgifte van persoonsgegevens dient steeds contractueel vastgelegd te worden, bijvoorbeeld in een verwerkingsovereenkomst. Je kan hiervoor contact opnemen met de juridische ondersteuningsdienst van TechTransfer.  

2. Doorgifte van persoonsgegevens naar landen buiten de EER waarvoor GEEN adequaatheidsbesluit bestaat

Indien een land niet op de lijst met adequaatheidsbesluiten staat, is de doorgifte van persoonsgegevens enkel mogelijk in een van volgende gevallen:

• Het gebruik van standaardbepalingen in een overeenkomst/contract tussen de eigen instelling/organisatie en de ontvangende instelling/organisatie (ook de 'standard contractual clauses' genoemd). Deze clausules maken een doorgifte naar een land mogelijk door het voorzien van passende bescherming via een overeenkomst.
• Het gaat om een uitzonderingssituatie die limitatief gemotiveerd dient te worden zoals opgesomd in de AVG zelf  (artikel 49  AVG). Zoals het vragen van expliciete toestemming aan de betrokkenen voor de incidentele doorgifte van data. Hierbij moet aan de betrokkenen ook gemeld worden welke risico’s deze doorgifte eventueel voor hem/haar kunnen inhouden.

Voor de Verenigde Staten kunnen doorgiften vanuit de UGent momenteel enkel plaatsvinden door beroep te doen op standard contractual clauses of op de uitzonderingen van artikel 49 (niet voor structurele doorgiftes). Bijkomend dienen er, naar aanleiding van de Schrems II-rechtspraak, voor doorgifte van persoonsgegevens naar de V.S. specifieke aanvullende maatregelen voorhanden te zijn. Welke aanvullende maatregelen mogelijkzijn, bescheef de European Data Protection Board in haar Aanbevelingen 01/2020 inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen (zoals encryptie en psuedonimiseren). 

Ook hier moeten de algemene beginselen van de AVG steeds gerespecteerd worden (onde rmeer rechtmatigheid, zie hieronder bij 'aandachtspunten').

Opgelet! Elke overdracht of doorgifte dient steeds contractueel vastgelegd te worden, bijvoorbeeld in een verwerkingsovereenkomst. Je kan hiervoor contact opnemen met de juridische ondersteuningsdienst van TechtTransfer.

Het is belangrijk om zelf een inschatting te maken van de mogelijke risico’s voor de betrokkenen. Hierbij dien je rekening te houden met zowel de aard van de persoonsgegevens als de geboden waarborgen van de betreffende organisatie en de privacywetgeving die bestaat in het betreffende land.