Wanneer u persoonsgegevens wilt exporteren buiten de EU, dan is dat alleen mogelijk als het land veilig is verklaard door de Europese Commissie. Dit is bijvoorbeeld met de VS gebeurd. Voor andere landen moet u werken met een zogeheten modelcontract, opgesteld vanuit de EU Standard Contractual Clauses (Commission Decision C(2010)593) voorgeschreven door de EU.
Het werken met persoonsgegevens is streng gereguleerd. Tot 25 mei 2018 gebeurt dit onder de Wet bescherming Persoonsgegevens en de Europese Privacyrichtlijn uit 1995; vanaf die datum wordt de Algemene Verordening Gegevensbescherming van kracht en deze bevat nóg meer regels. Zo moet u vanaf dan duidelijk documenteren hoe persoonsgegevens worden verwerkt en wat u daarmee doet.
Een belangrijk punt is het regelen van export van persoonsgegevens, oftewel het opslaan van persoonsgegevens buiten de EU of het verstrekken daarvan aan een derde. Of dat nu een bewerker is of niet, hier gelden speciale regels. De hoofdregel is dat de ontvanger in een zogeheten veilig land moet zijn gevestigd. Dit is een land dat door de Europese Commissie als veilig is aangewezen. Dit zijn Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay en natuurlijk de Verenigde Staten.
Specifiek bij de Verenigde Staten geldt dat het bedrijf ook nog eens aangesloten moet zijn bij het Privacy Shield. Voorheen heette dit de Safe Harbor, maar deze regeling werd in 2015 ongeldig verklaard door het Europese Hof van Justitie. De nieuwe regeling zou meer zekerheden moeten bieden, maar juristen twijfelen of dit wel genoeg is.
Een alternatief is te werken met zogeheten modelclausules. Dit zijn strenge bepalingen, opgesteld door de Europese Commissie. Door deze in een overeenkomst met een ontvanger in een derde land op te nemen, kunnen de benodigde passende waarborgen contractueel worden gerealiseerd. Onder de Richtlijn zijn standaardbepalingen opgesteld en goedgekeurd; twee voor overdracht tussen twee verwerkingsverantwoordelijken (2001/497/EC en 2004/915/EC) en één voor overdracht van een verwerkingsverantwoordelijke binnen de EU naar een verwerker daarbuiten (2010/87/EU).
Wanneer uw contract samengesteld is uit deze modelclausules, mag u persoonsgegevens exporteren naar een bedrijf buiten de EU.