Duidelijkere regels voor delen persoonsgegevens met overheidsinstanties buiten EU

In een snel digitaliserende wereld kunnen organisaties verzoeken krijgen van overheidsinstanties in andere landen om persoonsgegevens te delen. Bijvoorbeeld om bewijs van een misdaad te verzamelen, financiële transacties te controleren of nieuwe medicijnen goed te keuren.

Als een Europese organisatie een verzoek krijgt van een instantie in een land buiten de EU (een derde land), dan moet de organisatie zich houden aan de Algemene verordening gegevensbescherming (AVG). De nieuwe guidelines van de EDPB helpen organisaties te bepalen of en hoe zij in zo’n situatie persoonsgegevens kunnen delen.

De guidelines gaan specifiek in op verzoeken die ontstaan uit een gerechtelijke uitspraak of besluit. EU-landen erkennen zo’n uitspraak of beslissing van een derde land namelijk niet automatisch. Om toch persoonsgegevens te delen, moet er bijvoorbeeld een internationale overeenkomst zijn. Een organisatie moet ook altijd voldoen aan de overige regels voor internationale doorgifte van persoonsgegevens.

Publieke consultatie

Iedereen die dat wil, kan tot en met 27 januari 2025 reageren op de guidelines. Na deze consultatie stelt de EDPB de definitieve guidelines vast.

AVG-certificering Brand Compliance goedgekeurd voor hele EU

Tijdens de plenaire vergadering heeft de EDPB ook Brand Compliance certificeringscriteria goedgekeurd. In september 2023 werden de nationale certificeringscriteria al goedgekeurd voor Nederland. Nu zijn deze criteria ook toepasbaar in de rest van Europa en als ‘European data protection seal’.

Een AVG-certificaat helpt organisaties aan te tonen dat zij voldoen aan de privacywet. Dit geeft mensen vertrouwen in het product, de dienst, het proces of het systeem waarvoor een organisatie hun persoonsgegevens verwerkt.

De Autoriteit Persoonsgegevens (AP) is een van de privacytoezichthouders in de EDPB.