Persoonsgegevens worden beschermd op grond van de Algemene Verordening Gegevensbescherming, maar de verordening geldt niet voor landen buiten de Europese Unie. Wat als een decentrale overheid dan toch persoonsgegevens moet doorgeven buiten de grenzen van de EU? Hiervoor gelden ook enkele regels. Om dit te vergemakkelijken heeft de European Data Protection Board richtlijnen aangenomen over een AVG-certificaat. Belanghebbenden kunnen hier nu op reageren.
AVG-certificaat
Het certificeringsinstrument is gebaseerd op artikel 42 lid 2 van de AVG. Een organisatie kan met een AVG-certificaat aantonen dat de interne bedrijfsprocessen in lijn zijn met de AVG. Europese organisaties laten hiermee zien dat ze de AVG goed hebben geïmplementeerd. Ook buitenlandse bedrijven kunnen met het certificaat laten zien dat zij bij het verwerken van persoonsgegevens de AVG in acht nemen. Naast de certificering is dan ook een doorgiftecontract nodig. Hiervoor heeft de Europese Commissie in 2021 enkele standaardcontractbepalingen gepubliceerd.
Om een AVG-certificaat te verkrijgen moet een bedrijf zich laten controleren oor een geaccrediteerde certificatie-instelling. Volgens de berichtgeving van de Autoriteit Persoonsgegevens is er in Nederland momenteel nog geen dergelijke instelling, maar zullen deze in de toekomst wel komen.
Feedback
De voorgestelde richtlijnen zijn een eerste versie. De European Data Protection Board verwelkomt alle opmerkingen over de richtlijnen. Ieder die dat wil kan hier via deze link nog tot 30 september 2022 op reageren. Daarna zullen de richtlijnen voor het AVG-certificaat definitief worden vastgesteld.
Bron
Richtlijnen 07/22 over certificering als hulpmiddel bij overdrachten, European Data Protection Board
Meer informatie
Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Gegevensuitwisseling met derde landen, Kenniscentrum Europa Decentraal
