AVG: Waaraan moet ik denken bij de doorgifte van persoonsgegevens naar andere landen of internationale organisaties?

Wanneer je binnen je onderzoek samenwerkt met onderzoekers, partners of instellingen gevestigd in een ander land, binnen of buiten de EU, moet je aandachtig zijn bij het toegankelijk maken, doorgeven en uitwisselen van persoonsgegevens. Dit geldt ook wanneer je beroep doet op  verwerkers of onderaannemers, zoals Qualtrics (verwerker gevestigd in de V.S.). Bovendien is dit niet enkel van toepassing bij samenwerkingen, maar ook bij loutere doorgifte van persoonsgegevens.

Doorgifte van persoonsgegevens naar een ander land binnen de EU, Noorwegen, IJsland of Liechtenstein (EER)

De AVG zorgt voor een uniformisering van het privacybeleid binnen de EU waardoor er vrij verkeer van persoonsgegevens binnen de lidstaten van de EU, Noorwegen, IJsland en Liechtenstein mogelijk is. Indien je samenwerkt met onderzoekers, partners of instellingen gevestigd binnen de EU, Noorwegen, IJsland of Liechtenstein, of met en persoonsgegevens wilt uitwisselen, heb je enkel een verwerkingsovereenkomst nodig om de toegang, doorgifte of uitwisseling van persoonsgegevens correct vast te leggen. Je kan hiervoor contact opnemen met contracten@ugent.be

Doorgifte van persoonsgegevens naar een land buiten de EER of naar internationale organisaties

Het toegankelijk maken, doorgeven en uitwisselen van persoonsgegevens naar landen buiten de EER of internationale organisaties is enkel toegestaan indien het land of de organisatie in kwestie een “passend beschermingsniveau” kan garanderen voor de verwerking van persoonsgegevens.

1. Doorgifte van persoonsgegevens naar landen buiten de EER waarvoor een adequaatheidsbesluit geldt      

De Europese Commissie gaf aan een aantal landen reeds een adequaatheidsbesluit waarmee bevestigd wordt dat het land een passend beschermingsniveau kent. De meeste recente lijst met landen is hier terug te vinden.

Opgelet! De overdracht of doorgifte dient steeds contractueel vastgelegd te worden in een verwerkingsovereenkomst. Je kan hiervoor contact opnemen met contracten@ugent.be.  

2. Doorgifte van persoonsgegevens naar landen buiten de EER waarvoor GEEN adequaatheidsbesluit bestaat

Indien een land niet op de lijst met adequaatheidsbesluiten staat, is de doorgifte van persoonsgegevens enkel mogelijk in een van volgende gevallen:

  • Het gebruik van standaardbepalingen in een overeenkomst/contract tussen de eigen instelling/organisatie en de ontvangende instelling/organisatie
  • Het gaat om een uitzonderingssituatie die limitatief gemotiveerd dient te worden zoals opgesomd in de AVG zelf  (artikel 49  AVG).
  • Het expliciet vragen van toestemming aan de betrokkenen voor de incidentele doorgifte van data. Hierbij moet aan de betrokkenen ook gemeld worden welke risico’s deze doorgifte eventueel voor hem/haar kunnen inhouden.

 
Opgelet! De overdracht of doorgifte dient steeds contractueel vastgelegd te worden in een verwerkingsovereenkomst. Je kan hiervoor contact opnemen met contracten@ugent.be


Het is belangrijk om zelf een inschatting te maken van de mogelijke risico’s voor de betrokkenen rekening houdend met enerzijds de aard van de persoonsgegevens, en anderzijds de geboden waarborgen van de betreffende organisatie en de privacywetgeving die bestaan in het betreffende land.

Aandachtspunten

  • Zorg steeds voor een veilige doorgifte (bv. via belnet filesender, geëncrypteerd,…).
  • Er kan slechts één rechtsgrond zijn per gegevensoverdracht.
  • De rechtsgrond voor gegevensoverdracht moet een van de volgende zijn:
    • De personen die deelnemen aan het onderzoek hebben vrijelijk hun uitdrukkelijke geïnformeerde toestemming gegeven voor de gegevensoverdracht.
    • De gegevensoverdracht vindt plaats in het algemeen belang, wat betekent dat het leidt tot een toename van kennis en inzicht ten voordele van de samenleving, direct of indirect.
    • De gegevensoverdracht is noodzakelijk ten behoeve van de gerechtvaardigde belangen van de UGent of het UZ Gent, maar brengt geen grote risico's met zich mee voor de individuen die deelnemen aan het onderzoek.
    • De gegevensoverdracht is noodzakelijk voor het uitvoeren van een overeenkomst met de persoon wiens gegevens worden verwerkt (let op: dit gaat niet over de verwerkersovereenkomst).
    • De overdracht van persoonsgegevens is noodzakelijk in het kader van een wettelijke verplichting van de UGent.

 

Meer tips

Translated tip


Laatst aangepast 29 oktober 2020 10:15