Persoonsgegevens binnen de EU worden op grond van de Algemene Verordening Gegevensbescherming (AVG) beschermd. Houd bij het verwerken van (medische) gegevens wel rekening met de mogelijkheid dat gegevensverwerking ook kan plaatsvinden door organisaties buiten de EU, bijvoorbeeld op een server in de VS. Er is dan sprake van gegevensuitwisseling met ‘derde landen’.
De doorgifte van persoonsgegevens naar derde landen is onder andere mogelijk als de Europese Commissie een zogenaamd adequaatheidsbesluit* heeft genomen. Als dit besluit is genomen, dan is er geen specifieke toestemming nodig voor het doorgeven van persoonsgegevens naar landen buiten de EER (EU, plus Liechtenstein, Noorwegen en IJsland).
De doorgifte van persoonsgegevens door Europese organisaties aan bedrijven in de VS is een stuk eenvoudiger geworden. Op 10 juli 2023 heeft de Europese Commissie namelijk een adequaatheidsbesluit vastgesteld. Sindsdien zijn er nieuwe afspraken in werking getreden tussen de Europese Commissie en de VS over de doorgifte van persoonsgegevens vanuit de EER naar de VS. Deze afspraken worden ook wel de Data Privacy Framework (DPF) genoemd. Het doorgeven van persoonsgegevens vanuit de EER naar organisaties die meedoen aan het DPF, is dan toegestaan zonder extra technische en juridische maatregelen.
Volgens de Europese Commissie zijn de gegevens van de burgers uit de EER goed beschermd bij de bedrijven die zich verbinden aan het DPF. Bedrijven in de VS, die zich verbinden aan het DPF, moeten voldoen aan diverse aanvullende verplichtingen die we ook kennen uit de AVG. Zo moeten aangesloten bedrijven persoonsgegevens verwijderen als deze gegevens niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld.
* Een adequaatheidsbesluit houdt in dat een land buiten de EER door de Europese Commissie officieel wordt erkend als een land met een passend niveau van gegevensbeschermings- en privacywetgeving.