Regels voor dataopslag binnen en buiten de Europese Unie

Microsoft en opslag van data

Microsoft geeft aan dat haar clouddiensten al voldeden aan de EU-privacyregels. Met de nieuwe opslagmogelijkheid kunnen gebruikers echter voortaan hun data binnen de Europese Unie (EU) opslaan. Hierdoor wordt het voor de gebruikers duidelijk waar hun data precies wordt opgeslagen en waar deze wordt verwerkt. Het gaat onder andere om persoonlijke gegevens in diagnostische data die de diensten genereren. Daarnaast worden ook de technische tools voor databeheer uitgebreid (onder andere Lockbox en encryptie). Microsoft integreert deze ‘EU Data Boundary Solutions’ in de kern van haar clouddiensten. Als alles volgens planning verloopt, kunnen klanten vanaf eind 2022 gebruikmaken van de nieuwe opslagmogelijkheid.

Wat zijn de regels van opslag van data binnen en buiten EU?

De bescherming van persoonsgegevens is niet in alle landen van de wereld eenduidig geregeld. Zo is het opslaan van persoonsgegevens in het buitenland enkel toegestaan als het betreffende land voldoende bescherming biedt.

Opslag van data binnen de Europese Unie

Binnen de Europese Unie is het niveau van gegevensbescherming gelijk. Dat komt doordat alle EU-lidstaten zich moeten houden aan EU-privacyregels (in Nederland uitgewerkt in de AVG). De EU is daarom één rechtsgebied bij de bescherming van persoonsgegevens. Sla je als organisatie persoonsgegevens op in een ander EU-land dan Nederland? Dan hoef je alleen te voldoen aan de algemene eisen uit de Algemene Verordening Gegevensbescherming (AVG).

Opslag van data buiten de Europese Unie

Voor opslag van persoonsgegevens in landen buiten de EU, zogeheten derde landen, gelden aparte regels. De hoofdregel is dat je persoonsgegevens alleen mag opslaan in derde landen met een passend beschermingsniveau. Heeft het land geen passend beschermingsniveau? Dan is opslag slechts toegestaan op grond van één van de wettelijke bepalingen uit de AVG. Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens. Opslag van persoonsgegevens in derde landen is in vier gevallen mogelijk:

• op basis van een adequaatheidsbesluit;
• op basis van passende waarborgen (modelcontract, gedragscode, certificering);
• op basis van binding corporate rules (BCR);
• op basis van specifieke uitzonderingen (uitdrukkelijke toestemming, noodzakelijk voor de uitvoering van een overeenkomst of één van de andere uitzonderingen van art. 49 AVG)

Kun je geen beroep doen op een van de uitzonderingen genoemd in artikel 49 AVG? Dan mag je toch persoonsgegevens opslaan in derde landen, als:

• de opslag niet repetitief is;
• het gaat om de opslag van persoonsgegevens van een beperkt aantal betrokkenen;
• de opslag noodzakelijk is voor je dwingende, gerechtvaardigde belangen, die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkenen;
• je alle omstandigheden van de opslag hebt beoordeeld en op basis daarvan passende waarborgen hebt geboden voor de bescherming van persoonsgegevens.

Meer weten?

aaff is graag overal van betekenis. Wil je meer weten over hoe om te gaan met opslag van data? Neem contact op met jurist ondernemingsrecht en ICT-recht.