Home » Privacy » Domein 5: Samenwerking » Norm SW.03

Norm SW.03 Doorgifte buiten de EER

Doorgifte van persoonsgegevens buiten de EER vindt uitsluitend plaats wanneer een passend beschermingsniveau is gewaarborgd.

Waarom is dit nodig?

Bij gegevensverwerking buiten de Europese Economische Ruimte (EER) moeten er (juridische, technische en organisatorische) waarborgen zijn dat het beschermingsniveau voldoet aan de AVG, zodat de persoonsgegevens veilig en voldoende beschermd blijven. Betrokkenen moeten hun privacyrechten kunnen blijven uitoefenen zoals verwoord in het privacybeleid en privacyreglement. Een goed proces waarbij verwerkingen vooraf getoetst worden op rechtmatigheid draagt bij aan de juiste bescherming van persoonsgegevens.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Binnen de organisatie is er onvoldoende bekendheid over de procedures die moeten worden gevolgd bij het overdragen van gegevens buiten de EER.
  • De organisatie heeft geen (duidelijk) inzicht in de landen waaraan persoonsgegevens worden doorgegeven.
  • Periodieke toetsing van de naleving van wet- en regelgeving met betrekking tot de doorgifte van persoonsgegevens aan derde landen (buiten de EER) ontbreekt
2 Herhaalbaar
  • De organisatie voert voorafgaand aan een voorgenomen doorgifte naar een derde land buiten de EER een toetsing uit of bij doorgifte de verwerking aan een passend beschermingsniveau voldoet, maar het proces is niet (volledig) gedocumenteerd en de kennis en expertise is slechts bij een beperkt aantal individuen binnen de organisatie aanwezig.
  • Er is geen gestandaardiseerde procedure voor het documenteren van landen waaraan persoonsgegevens worden doorgegeven, wat het risico op inconsistenties en fouten verhoogt.
3 Bepaald (streefniveau)
  • De organisatie voert voorafgaand aan een voorgenomen doorgifte buiten de EER een systematische toetsing uit om te beoordelen of bij doorgifte de verwerking aan een passend beschermingsniveau voldoet.
  • Er is een duidelijk en consistent proces voor het documenteren van landen waaraan persoonsgegevens worden doorgegeven.
  • Periodiek wordt getoetst of de doorgifte naar derde landen buiten de EER (nog) aan de wet- en regelgeving voldoet. Het proces voor deze toetsing is gedocumenteerd en bekend bij de medewerkers.
4 Beheerst

Aanvullend op niveau 3:

  • De organisatie evalueert periodiek de doorgiftes buiten de EER en past indien nodig de (toets)processen aan.
  • De periodieke evaluaties worden ondersteund door bewustwordingscampagnes en/of training om kennis en bewustzijn over doorgiftes buiten de EER binnen de organisatie te verhogen.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De organisatie heeft een tool geïmplementeerd om inzicht te krijgen in gegevensverstrekkingen, waaronder doorgiftes naar derde landen, wat ook het proces van het monitoren en periodiek evalueren van de gegevensverstrekkingen vergemakkelijkt.
  • De organisatie is in staat om te reageren op veranderingen in de omstandigheden of wet- en regelgeving over doorgifte buiten de EER.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Beoordeel bij het doorgeven van persoonsgegevens aan landen buiten de EER vooraf of er een passend beschermingsniveau is en documenteer deze beoordeling.
  • Houd een overzicht bij van de landen waaraan persoonsgegevens worden doorgegeven en van de verwerkingen waarbij dit buiten de EER gebeurt. Leg dit bijvoorbeeld vast in het verwerkingsregister.
  • Toets aan de hand van een vastgestelde procedure ten minste één keer per jaar of de doorgifte van persoonsgegevens aan landen buiten de EER nog voldoet aan de wet- en regelgeving. Documenteer de uitkomsten van de toetsing.
  • Houd internationale ontwikkelingen, besluiten en afspraken van de Europese Commissie en uitspraken van het Europese Hof van Justitie over het doorgeven van persoonsgegevens goed in de gaten. Denk bijvoorbeeld aan het Data Privacy Framework.

Gerelateerde wetten en normen

Norm SW.03 Doorgifte buiten de EER is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Afdrukken

Op deze pagina