Nieuwe EDPB-richtlijnen over AVG-certificaat als doorgifte-instrument

20 juli 2022
Artikel

De European Data Protection Board heeft een eerste versie richtlijnen vastgesteld voor een AVG-certificaat als doorgifte-instrument. De raad stelde voorwaarden aan het delen van persoonsgegevens met landen buiten Europa.   

Portretfoto van Niels Ista
Neem contact op met:
Niels Ista Jurist ondernemingsrecht en ICT-recht
Privacy computer

AVG-certificaat

Het AVG-certificaat is een officieel keurmerk dat aangeeft dat een product, proces of dienst voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Het toont aan dat een organisatie persoonsgegevens zorgvuldig verwerkt, op technisch en organisatorisch gebied. Zowel een verwerkingsverantwoordelijke als een verwerker kan een AVG-certificaat aanvragen. De aanvraag van een AVG-certificaat en de bijbehorende certificering gebeurt via een zogeheten accreditatieproces, waarin de Raad voor Accreditatie en de Autoriteit Persoonsgegevens (AP) een belangrijke rol spelen. Er zijn tot nu toe in Nederland echter nog geen geaccrediteerde certificatie-instellingen voor het afgeven van AVG-certificaten die als doorgifte-instrument voor persoonsgegevens buiten de EU kunnen worden gebruikt. De AP waarschuwde al meerdere keren voor organisaties die beweren wel zo’n keurmerk te kunnen afgeven. Zij beweren nauw samen te werken met de Nederlandse toezichthouder, maar dit blijkt in werkelijkheid zeker niet zo te zijn.

Doorgifte-instrument

Een AVG-certificaat kan de basis vormen om op een veilige manier persoonsgegevens te versturen vanuit de EU naar landen buiten het grondgebied van de EU. Europese organisaties kunnen met een behaald AVG-certificaat aantonen dat zij de vereisten uit de AVG correct hebben geïmplementeerd en zowel binnen als buiten de EU veilig persoonsgegevens kunnen en mogen versturen.
Daarnaast kunnen buitenlandse organisaties, die gevestigd zijn buiten de EU en die vanuit het buitenland producten en diensten aanbieden aan ingezetenen van de EU, met een AVG-certificaat aantonen dat zij handelen conform de AVG. Zij moeten zich hiervoor eerst laten certificeren. Daarna moeten ze een aanvullend doorgiftecontract opmaken en aangaan met de EU-organisatie waarnaartoe zij persoonsgegevens willen versturen. Deze handelswijze maakt dat AVG-certificaten uitermate geschikt zijn als doorgifte-instrument voor persoonsgegevens buiten de EU. Over AVG-certificering als doorgifte-instrument zijn nu richtlijnen gepubliceerd door de EDPB. In deze richtlijnen staan de voorwaarden omschreven om op basis van een AVG-certificaat en een aanvullend doorgiftecontract rechtmatig persoonsgegevens te kunnen delen met partijen in het buitenland.

EDPB-richtlijnen

De EDPB nam hierin tal van aanbevelingen en criteria op in het kader van de beoogde vorm van certificering. Aanbevelingen en criteria met betrekking tot:

  • de rol van de toezichthoudende autoriteiten;
  • de rol van certificeringsorganen;
  • de wijze van Goedkeuring van certificeringscriteria;
  • de ontwikkeling van certificeringscriteria;
  • richtlijnen voor het vaststellen van certificeringscriteria.

Kortom, tal van aanbevelingen en criteria die uiteindelijk moeten zorgen voor een accreditering van certificeringsinstanties, die op hun beurt organisaties kunnen voorzien van een AVG-certificaat.

Het vervolg?

Deze richtlijnen zijn op dit moment dus nog niet definitief. Iedereen die dat wil, kan hier tot en met 30 september 2022 op reageren via de website van de EDPB. Na deze consultatie stelt de EDPB de definitieve richtlijnen vast en zal zij deze definitief publiceren.

Wat kan ABAB Legal voor u betekenen?

De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacywetgeving, en kunnen u bijstaan bij allerhande vraagstukken in dit kader. Neem voor meer informatie of juridisch advies contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 013-4647180 of stuur Niels een e-mail.

Wilt u meer weten over een AVG-certificaat? Onze jurist helpt u graag verder!

E-mail Niels
Portretfoto van Niels Ista
Jurist ondernemingsrecht en ICT-recht
Bel
013-4647180