Voldoen aan de AVG: dit zijn de valkuilen bij internationaal ondernemen

In deze blogserie bespreken we welke uitdagingen je tegenkomt als je grote groeiplannen hebt met je bedrijf. Van internationaal zakendoen tot belastingen en privacy: ontdek de belangrijkste valkuilen én hoe je deze voorkomt. Dit is het eerste deel van de serie, in de volgende artikelen lees je meer over belastingen, mergers en bedrijfsovernames.

Als je internationaal gaat ondernemen, kom je voor een hoop nieuwe uitdagingen te staan. Ik weet er alles van: de afgelopen jaren breidde Voys uit naar Zuid-Afrika, Duitsland en België. Veel tijd gaat zitten in het ontdekken van een nieuwe markt, passende producten en de sales en marketing hiervan. In alle drukte wordt een belangrijk aspect van internationaal ondernemen vaak over het hoofd gezien: privacy en de AVG.

In dit artikel leg ik je uit waarom de AVG juist bij internationaal ondernemen belangrijk is, waar je op moet letten en welke uitdagingen je onderweg kunt tegenkomen. Ook geef ik je wat praktische tips die je op weg helpen om te starten met internationaal ondernemen volgens de AVG.

De AVG verkleint de kans op misbruik van gegevens

De AVG heeft een beetje een imagoprobleem: veel ondernemers zien de AVG als een lastig obstakel. De wetgeving is echter essentieel om de kans op misbruik van data door overheden en (grote) bedrijven te verkleinen. Het verplicht partijen om zorgvuldig en transparant te opereren, wat een buitengewoon goede zaak is.

De AVG is Europese wetgeving, wat het relatief eenvoudig houdt voor Nederlandse bedrijven die voornamelijk binnen Europa actief zijn. Maar wanneer je gegevens buiten Europa wilt delen, wordt het snel complex.

Misschien denk je nu: ‘maar ik sla geen persoonsgegevens op in cloudsoftware van Amerikaanse providers.’ Bedenk dan even dat zelfs de basisinformatie van je collega’s, zoals hun naam en e-mailadressen, gezien wordt als persoonsgegevens. Zo wordt internationaal ondernemen in combinatie met data en privacy alsnog ingewikkeld.

EU-regels voor dataoverdracht buiten Europa

De EU heeft een aantal richtlijnen opgesteld voor internationale dataoverdracht buiten de EU. Daaruit blijkt dat de regels voor het beschermen van persoonlijke data blijven gelden, ongeacht waar de data terechtkomen. Ook als dat land geen EU-lid is.

Hoewel de informatie op de website van de EU correct is, is het niet eenvoudig om de regels te doorgronden.

In het kort komt het erop neer dat het land buiten de EU, waarmee je de data deelt, een passend beschermingsniveau moet hebben. Landen die geen passend beschermingsniveau hebben, mogen alleen persoonsgegevens ontvangen als:

• Het land een adequaatheidsbesluit heeft
• Er passende waarborgen geboden worden in de vorm van modelcontracten, binding corporate rules of bepaalde gedragscodes
• Of als er sprake is van specifieke uitzonderingen

EU geeft adequaatsheidsbesluit voor landen buiten de EU

Een belangrijke waarborg voor het beschermen van persoonlijke data is het adequaatheidsbesluit, in het Engels een ‘Adequacy Decision’. De Europese Commissie beoordeelt of een land buiten de EU voldoet aan een passend niveau van gegevensbescherming.

Het is eenvoudiger om persoonsgegevens over te dragen naar landen waarvoor een adequaatheidsbesluit is genomen, omdat de EU voor die landen heeft geconcludeerd dat de privacy van EU-burgers op een vergelijkbaar niveau wordt gewaarborgd als in de EER.

Internationaal ondernemen in landen met een adequaatheidsbesluit wordt hiermee een stuk aantrekkelijker, omdat een organisatie niet zelf hoeft uit te zoeken of de lokale wetten en regels in overeenstemming zijn met het (minimale) niveau dat de Europese wetgeving vereist. Als ondernemen minder complex wordt, wordt samenwerken dus makkelijker.

Bindende bedrijfsvoorschriften zijn in theorie een goede oplossing

Een andere passende waarborg is het implementeren van bindende bedrijfsvoorschriften. Bindende bedrijfsvoorschriften zijn, naast het adequaatsheidsbesluit, de meest complete manier om aan de AVG te voldoen, want bindende bedrijfsvoorschriften zijn van toepassing op alle datatransfers binnen een organisatie. Bovendien wordt door Europese toezichthouders beoordeeld of de genomen maatregelen voldoende zijn.

In theorie is dit dus een goede oplossing. Echter, dit vereist goedkeuring van de nationale toezichthoudende autoriteit in samenspraak met de EDPB, een Europees orgaan waarin alle nationale toezichthouders samenwerken. Dit proces duurt gemiddeld vier jaar. Voor een middelgrote organisatie is dit een enorme opgave, en tegen de tijd dat de regels goedgekeurd zijn, zullen ze waarschijnlijk alweer verouderd zijn.

Standaard contractbepaling werkt alleen voor specifieke data

De Europese Commissie biedt ook andere waarborgen, zoals modelcontracten in de vorm van standaard contractbepalingen. Deze contracten moeten worden aangevuld met documentatie die organisaties zelf opstellen. Standaard contractbepalingen bieden alleen een oplossing voor specifieke datatransfers.

Grote tools, zoals Slack, Hubspot of Google stellen deze documentatie vaak beschikbaar. Toch is het aan bedrijven zelf om te beoordelen of de beschikbare documentatie voldoet aan de wetgeving die op hun bedrijf van toepassing is.

De manier waarop datatransfers op basis van standaardcontractbepalingen binnen organisaties plaatsvindt, voelt soms vreemd aan. We weten welke soort data we beschikbaar willen stellen aan onze collega’s. Idealiter zouden we dit willen vastleggen en vervolgens controleren of de deling binnen die tools veilig kan.

Echter, de wet- en regelgeving maakt geen onderscheid tussen de vraag “welke” data gedeeld mag worden en “hoe” dit gedaan moet worden. Hierdoor kan het gebeuren dat voor twee tools die dezelfde data bevatten, toch steeds opnieuw het volledige proces doorlopen moet worden.

Daarbij komt dat data bij het gebruik van Amerikaanse tools, zoals Google Drive of Microsoft 365, soms niet volledig binnen de EU kan blijven. Vaak gaat het hier niet om klantgegevens, maar om informatie over collega’s, zoals voornaam, achternaam en e-mailadres. In zulke gevallen moet je naast contractuele afspraken en het zorgen voor passende waarborgen ook een Data Transfer Impact Assessment (DTIA) uitvoeren.

Samenwerken met internationale Voys-collega’s

Ook binnen Voys staan we soms voor uitdagingen in het internationaal samenwerken met onze buitenlandse collega’s. Voor onze Duitse en Belgische collega’s zijn de regels helder, omdat dit binnen de EU valt. Het samenwerken met onze collega’s in Zuid-Afrika is een stuk complexer.

Voor Zuid-Afrika is er tot nu toe geen adequaatheidsbesluit genomen. Dit betekent dat de Europese Commissie nog niet heeft geoordeeld dat de Zuid-Afrikaanse wetgeving voldoet aan de (strenge) Europese standaarden. Om ervoor te zorgen dat we alsnog op een veilige wijze data kunnen delen met onze Zuid-Afrikaanse collega’s, moeten we zelf actief onderzoeken of een van de andere alternatieven, zoals het opstellen van modelcontracten of bindende bedrijfsvoorschriften, een oplossing biedt.

Als we deze alternatieven niet onderzoeken, dan is er geen passende waarborg op basis waarvan we Zuid-Afrikaanse collega’s toegang mogen geven tot Nederlandse klantinformatie. En dat is ontzettend jammer, want een Zuid-Afrikaanse collega die vloeiend Nederlands spreekt, mag dan bijvoorbeeld geen Nederlandse klanten helpen.

Gegevens afschermen voor een deel van de collega’s

Ook samenwerken in dezelfde tools wordt al snel complex. We zijn een organisatie met een standaard toolset. Maar als we in ons interne chatplatform communiceren, mogen we daar niet zomaar het mobiele nummer van een contact delen als onze Zuid-Afrikaanse collega’s toegang hebben tot dit chatsysteem. Dit geldt ook voor kennismanagementsystemen en office software als Google Drive, CRM-systemen, de financiële administratie en zelfs voor tools als Digital Ocean en Amazon Web Services.

Als organisatie willen we onze klanten bijvoorbeeld snel en efficiënt helpen bij vragen. Bij vragen waarop we zelf het antwoord niet direct weten, maar waarschijnlijk collega’s wel, wil je dat elkaar kunnen voorleggen. En daarbij is het niet altijd mogelijk om bij elkaar aan het bureau te gaan staan, omdat we veel hybride (thuis)werken. In die gevallen moeten collega’s erop bedacht zijn welke informatie ze in welk kanaal of welke tool delen, zonder dat persoonsgegevens met Zuid-Afrikaanse collega’s worden gedeeld.

Internationaal ondernemen: praktische adviezen om aan de AVG te voldoen

Internationaal ondernemen en voldoen aan de Europese richtlijnen voor datagebruik en privacy is ingewikkeld, maar gelukkig niet onmogelijk. Het is belangrijk om een paar belangrijke stappen te nemen, zodat je inzicht hebt op welke punten je aan de AVG moet voldoen, waar je mee aan de slag moet en wat je mogelijkheden zijn.

1: Inventariseer het toolgebruik in je organisatie

Als je wilt weten of je aan alle regels voldoet, is de eerste stap om het toolgebruik binnen je organisatie te inventariseren. Vaak is dit een flinke klus, want je moet uit alle hoeken van de organisatie input verzamelen.

Een open register waarin iedereen tools en informatie kan toevoegen en bewerken, bespaart je veel tijd. Dit register, vaak een toolregister genoemd, kan nog waardevoller worden als je er andere relevante informatie aan koppelt, zoals de vervaldatum van contracten, de aanvragers en de huidige gebruikers van de tools.

Het combineren van het toolregister met het verwerkingsregister kan bovendien snel inzicht bieden in welke tools gebruikt worden voor specifieke verwerkingsactiviteiten.

2. Onderzoek welke tools data opslaan buiten de EU/EER

Het is belangrijk om na te gaan welke tools data opslaan buiten de Europese Unie of beter gezegd de Europese Economische Ruimte (EER). Tools die niet van Europese oorsprong zijn of Europese tools die data buiten de EER opslaan, vervang je idealiter door Europese varianten.

Wanneer samenwerking met businesspartners het gebruik van niet-Europese technologie vereist, zorg dan voor het waarborgen van een passend beschermingsniveau, het opstellen van verwerkersovereenkomsten en het uitvoeren van een Data Transfer Impact Assessment (DTIA).

3. Controleer of DPIA verplicht is voor gegevensverwerking

Een DPIA is een Data Protection Impact Assessment, een gegevensbeschermingbeoordeling bedoeld om de potentiële impact van gegevensverwerking op de privacy van individuen te beoordelen.

De Autoriteit Persoonsgegevens en andere Europese privacytoezichthouders hebben een lijst met criteria samengesteld die bepalen wanneer een DPIA noodzakelijk is. Zelfs als je specifieke situatie niet expliciet vermeld wordt, kan het toch vereist zijn om een DPIA uit te voeren, vooral als er waarschijnlijk een hoog privacyrisico voor betrokkenen is.

4. Zorg dat je een verwerkingsregister bijhoudt

Elke organisatie met meer dan 250 werknemers is verplicht een verwerkingsregister bij te houden. Voor kleinere organisaties geldt deze verplichting ook, tenzij de verwerking van persoonsgegevens incidenteel is, geen hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, of als er geen bijzondere categorieën van persoonsgegevens verwerkt worden.

Omdat de meeste organisaties regelmatig persoonsgegevens verwerken, is het aanleggen van een verwerkingsregister vaak toch noodzakelijk. Dit register biedt inzicht in welke persoonlijke gegevens je organisatie verwerkt, waarom deze verwerkt worden en hoe lang deze bewaard blijven.

Digitale hulpmiddelen die AVG Compliance ondersteunen

Natuurlijk ondersteunen we dit proces met digitale hulpmiddelen en het is handig om deze ook even te benoemen. Voor het beheren van ons toolregister en het verwerkingsregister maken we gebruik van Notion. Dit platform biedt ons de mogelijkheid om deze registers op een overzichtelijke manier te organiseren en bij te houden.

Voor het beheer van onze leveranciers gebruiken we Openli. Dit systeem bevat gedetailleerde informatie over aspecten zoals ISO-certificeringen, beveiligingsprotocollen, specifieke dataopslaglocaties en subverwerkers van onze tools. Openli helpt ons om een helder overzicht te houden van de compliance en beveiligingsstatus van onze leveranciers.

Voor contractmanagement zetten we Pactum in. Dit platform is gespecialiseerd in het beheren van contracten en de looptijd daarvan, waar Notion ook voor dit doeleind gebruikt zou kunnen worden.

Starten met internationaal ondernemen volgens de AVG

Als je de bovenstaande zaken leest, dan lijkt internationaal ondernemen ineens een stuk complexer. Laat je hierdoor niet weerhouden! Het wordt vooral complex als je data moet delen met collega’s die werkzaam zijn in een land waar de dataoverdracht niet goed georganiseerd is. Hier kun je – hoe vervelend dat soms ook kan zijn – rekening mee houden in je aannamebeleid als je de complexiteit wilt verlagen.

Houd ook vooral in gedachten waarom je deze administratieve taken aangaat: je wilt zoveel mogelijk geweldige internationale klanten helpen én je wilt op een veilige manier omgaan met hun persoonsgegevens en die van je collega’s.

Ik hoop dat dit artikel beide zaken eenvoudiger voor je maakt en dat je hierdoor nog meer mensen blij mag maken met jouw product of dienst. Succes!

Dank Steven, Yvanka en vooral Judith voor de research en het helpen tot stand komen van dit artikel.