AVG: Waaraan moet ik denken bij de doorgifte van persoonsgegevens naar andere landen of internationale organisaties?
Wanneer je binnen je onderzoek samenwerkt met onderzoekers, partners of instellingen gevestigd in een ander land, binnen of buiten de EU, moet je aandachtig zijn bij het toegankelijk maken, doorgeven en uitwisselen van persoonsgegevens. Dit geldt ook wanneer je beroep doet op verwerkers of onderaannemers, zoals bijvoorbeeld voor het afnemen van online vragenlijsten via Qualtrics (verwerker gevestigd in de V.S.). Bovendien is dit niet enkel van toepassing bij samenwerkingen, maar ook bij loutere doorgifte van persoonsgegevens.
Doorgifte van persoonsgegevens naar een ander land binnen de EU, Noorwegen, IJsland of Liechtenstein (EER)
De AVG zorgt voor een uniformisering van het privacybeleid binnen de EU waardoor er vrij verkeer van persoonsgegevens binnen de lidstaten van de EU, Noorwegen, IJsland en Liechtenstein mogelijk is. Indien je samenwerkt met onderzoekers, partners of instellingen gevestigd binnen de EU, Noorwegen, IJsland of Liechtenstein, of met hen persoonsgegevens wilt uitwisselen, heb je enkel een verwerkingsovereenkomst nodig om de toegang, doorgifte of uitwisseling van persoonsgegevens correct vast te leggen. Je kan hiervoor contact opnemen met de juridische ondersteuningsdienst van TechTransfer.
Doorgifte van persoonsgegevens naar een land buiten de EER of naar internationale organisaties
Het toegankelijk maken, doorgeven en uitwisselen van persoonsgegevens naar landen buiten de EER of internationale organisaties is enkel toegestaan indien het land of de organisatie in kwestie een “passend beschermingsniveau” kan garanderen voor de verwerking van persoonsgegevens.
1. Doorgifte van persoonsgegevens naar landen buiten de EER waarvoor een adequaatheidsbesluit geldt
De Europese Commissie gaf aan een aantal landen reeds een adequaatheidsbesluit waarmee bevestigd wordt dat het land een passend beschermingsniveau kent. De meeste recente lijst met landen is hier terug te vinden.
Opgelet! De overdracht of doorgifte dient steeds contractueel vastgelegd te worden in een verwerkingsovereenkomst. Je kan hiervoor contact opnemen met de juridische ondersteuningsdienst van TechTransfer.
2. Doorgifte van persoonsgegevens naar landen buiten de EER waarvoor GEEN adequaatheidsbesluit bestaat
Indien een land niet op de lijst met adequaatheidsbesluiten staat, is de doorgifte van persoonsgegevens enkel mogelijk in een van volgende gevallen:
- Het gebruik van standaardbepalingen in een overeenkomst/contract tussen de eigen instelling/organisatie en de ontvangende instelling/organisatie
- Het gaat om een uitzonderingssituatie die limitatief gemotiveerd dient te worden zoals opgesomd in de AVG zelf (artikel 49 AVG).
- Het expliciet vragen van toestemming aan de betrokkenen voor de incidentele doorgifte van data. Hierbij moet aan de betrokkenen ook gemeld worden welke risico’s deze doorgifte eventueel voor hem/haar kunnen inhouden.
Opgelet! De overdracht of doorgifte dient steeds contractueel vastgelegd te worden in een verwerkingsovereenkomst. Je kan hiervoor contact opnemen met de juridische ondersteuningsdienst van TechtTransfer.
Het is belangrijk om zelf een inschatting te maken van de mogelijke risico’s voor de betrokkenen. Hierbij dien je rekening te houden met zowel de aard van de persoonsgegevens als de geboden waarborgen van de betreffende organisatie en de privacywetgeving die bestaat in het betreffende land.
Aandachtspunten
- Zorg steeds voor een veilige doorgifte (bv. via belnet filesender, geëncrypteerd,…).
- Er kan slechts één rechtsgrond zijn per gegevensoverdracht.
- De rechtsgrond voor gegevensoverdracht moet één van de volgende zijn:
- De personen die deelnemen aan het onderzoek hebben vrijelijk hun uitdrukkelijke geïnformeerde toestemming gegeven voor de gegevensoverdracht.
- De gegevensoverdracht vindt plaats in het algemeen belang, wat betekent dat het leidt tot een toename van kennis en inzicht ten voordele van de samenleving, direct of indirect.
- De gegevensoverdracht is noodzakelijk ten behoeve van de gerechtvaardigde belangen van de UGent of het UZ Gent, maar brengt geen grote risico's met zich mee voor de individuen die deelnemen aan het onderzoek.
- De gegevensoverdracht is noodzakelijk voor het uitvoeren van een overeenkomst met de persoon wiens gegevens worden verwerkt (let op: dit gaat niet over de verwerkersovereenkomst).
- De overdracht van persoonsgegevens is noodzakelijk in het kader van een wettelijke verplichting van de UGent.
Meer tips
- AVG: hoe ben ik transparant ten aanzien van de betrokkenen van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: hoe beveilig ik mijn data op een correcte manier? (Integer onderzoek & ethiek)
- AVG: hoe lang mag ik onderzoeksdata met persoonsgegevens bewaren? (Integer onderzoek & ethiek)
- AVG: hoe registreer ik mijn verwerkingen van persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: hoe zorg ik ervoor dat de verwerking van persoonsgegevens rechtmatig gebeurt? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken als ik (online) surveytools gebruik? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken vooraleer ik bijzondere categorieën van persoonsgegevens verwerk? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken wanneer ik gebruik maak van een mailinglijst/verzendlijst in het kader van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken wanneer ik persoonsgegevens verwerk van minderjarigen? (Integer onderzoek & ethiek)
- AVG: waaraan moet ik denken bij het design van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: Waaraan moet ik denken wanneer ik samenwerk met anderen of mijn data deel? (Integer onderzoek & ethiek)
- AVG: waarom is het belangrijk om mij te houden aan deze wetgeving? (Integer onderzoek & ethiek)
- AVG: wanneer is deze wetgeving van toepassing op mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: Wanneer verwerk ik persoonsgegevens met een hoog risico en wanneer moet ik een GEB uitvoeren? (Integer onderzoek & ethiek)
- AVG: wat is de Algemene Verordening Gegevensbescherming? (Integer onderzoek & ethiek)
- AVG: wat moet ik doen bij een verdere/secundaire verwerking van persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: Wat moet ik doen wanneer er sprake is van een datalek? (Integer onderzoek & ethiek)
- AVG: wat verandert er ten opzichte van de vorige privacywetgeving? (Integer onderzoek & ethiek)
- AVG: wat zijn de basisprincipes? (Integer onderzoek & ethiek)
- AVG: wat zijn de verschillende rollen en verantwoordelijkheden? (Integer onderzoek & ethiek)
- AVG: wat zijn persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: welke informatie moet ik opnemen in een informed consent formulier wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming van de betrokkenen? (Integer onderzoek & ethiek)
- AVG: welke rechten hebben de betrokkenen, hoe respecteer ik deze en welke uitzonderingen kunnen gelden voor onderzoek? (Integer onderzoek & ethiek)
- AVG: wie wordt beschouwd als kwetsbare personen? (Integer onderzoek & ethiek)
Vertaalde tips
Laatst aangepast 26 september 2022 16:11