.png?width=178&height=52&name=logo_transparent%20(4).png "PrivacyPerfect_logo.png"){kind=logo}
Veel Europese organisaties delen gegevens met organisaties in landen buiten de EU (of eigenlijk de EER: EU en Noorwegen, Liechtenstein en IJsland). Vaak is dit naar de VS. Op 16 juli 2020 zette het Hof van Justitie van de Europese Unie een streep door het PrivacyShield, waarop 60% van de organisaties die gegevens delen buiten de EU vertrouwt voor wettige doorgifte naar de VS. Dit maakt de doorgifte van persoonsgegevens aan meer dan 5.500 Amerikaanse organisaties (waaronder de meest gebruikte softwaretools) in een klap in strijd met de Europese privacywet AVG. De reden: het recht en de praktijk omtrent toegang tot persoonsgegevens door Amerikaanse inlichtingendiensten betekent dat de bescherming van persoonsgegevens naar EU-maatstaven niet een passend beschermingsniveau geniet.
Bredere gevolgen
Het Hof voegde daarnaast voorwaarden toe aan SCC’s (goedgekeurde modelcontracten om veilige verwerking buiten de EU te waarborgen). Gegevensexporteurs moeten rekening houden met het recht en de praktijk van het land waarnaar de gegevens zullen worden doorgegeven, met name met betrekking tot overheidstoegang tot deze gegevens.
88% van de organisaties die gegevens delen buiten de EU vertrouwt op deze modelcontracten. SCC’s zijn ook het meest voor de hand liggende alternatief voor doorgiften naar de Verenigde Staten. Maar het verdere gebruik van de modelcontracten lijkt door de nu toegevoegde voorwaarden praktisch onhaalbaar. De uitspraak heeft dus niet alleen grote gevolgen voor gegevensdoorgiften van de EU naar de VS, maar bemoeilijkt ook het internationale dataverkeer in het algemeen. Het is dan ook van groot belang om overzicht te krijgen in de stand van zaken bij jouw organisatie en te zorgen dat je aan de AVG kunt blijven voldoen.
Wat nu?
Toen de voorloper van het PrivacyShield (Safe Harbor) ongeldig werd verklaard, stelden de privacytoezichthouders een gedoogperiode in. Organisaties kregen toen de tijd om zich aan te passen aan de nieuwe situatie. De EDPB, de Europese koepel van privacytoezichthouders, heeft uitgesproken dat er wat hen betreft nu geen gedoogperiode komt. Ook de Nederlandse Autoriteit Persoonsgegevens maakt in haar reactie op de Schrems-uitspraak geen gewag van een gedoogperiode. Er moet dus snel gehandeld worden.
Neem actie
Het volgende stappenplan kan helpen grip te krijgen op de situatie.
1. Let op de richtlijnen en uitspraken van de toezichthouders. Bijvoorbeeld de website van de Autoriteit Persoonsgegevens, de EDPB en de Europese Commissie.
2. Zoek uit welke organisaties persoonsgegevens van jouw organisatie ontvangen.
Dit hoort te staan in je (verplichte) verwerkingsregister, bijvoorbeeld in PrivacyPerfect. Let op dat partijen waarvan gebruik wordt gemaakt de gegevens zelf ook weer kunnen doorgeven. Als het goed is, heb je hierover afspraken vastgelegd in de verwerkersovereenkomst.
3. Zoek uit of er gegevens naar landen buiten de EU worden doorgegeven, en welk doorgiftemechanisme hiervoor wordt gebruikt.
Denk in het bijzonder aan:
a, organisaties die deelnemen aan PrivacyShield;
b, organisaties die gebruikmaken van SCC’s;
c, Amerikaanse organisaties in het algemeen.
4. In geval van SCC’s: zoek uit of de ontvangende partij kan voldoen aan de (extra) voorwaarden die in de Schrems-uitspraak worden genoemd. Bij mogelijke overheidstoegang tot gegevens, zoals bij Amerikaanse organisaties het geval is, kan zeer waarschijnlijk niet aan die voorwaarden worden voldaan.
5. Beperk de doorgifte van persoonsgegevens naar landen buiten de EU, kies voor opslag in de EU en/of neem andere passende waarborgen om de gegevens te beschermen bij doorgifte. Bij veel (niet-EU) dienstverleners is het tegenwoordig mogelijk gegevens op te slaan in de EU. Let op dat de gegevens niet alsnog buiten de EU worden verwerkt, bijvoorbeeld doordat een helpdesk in een derde land meekijkt in het systeem.
6. Verander bij onzekerheid van dienstverlener. PrivacyPerfect is een Nederlandse organisatie, maakt voor haar service alleen gebruik van betrouwbare partijen en slaat gebruikersgegevens op in Nederland.
7. Pas je privacystatement aan op de nieuwe situatie en informeer betrokkenen waar nodig.
SHARE