Persoonsgegevens van Europeanen moeten ten allen tijde binnen de EU blijven. Dat stelt de European Data Protection Board (EDPB) waar de Autoriteit Persoonsgegevens deel van uitmaakt. Het is voor het eerste dat er in de EU zo’n collectieve uitspraak ligt.
De aanbeveling staat in een document over de doorgifte van gegevens van EU-burgers naar derde landen. Dat zijn landen die persoonsgegevens minder goed beschermen dan in de EU. De EDPB wil het bedrijfsleven zo meer duidelijkheid geven, nadat het Europese Hof van Justitie eerder dit jaar het EU-VS Privacy Shield ongeldig verklaarde.
Privacy Shield
In juli concludeerde de hoogste Europese rechter in de zogeheten Schrems II-uitspraak dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet. Dit ondanks het bestaan van het Privacy Shield. Dat waren de afspraken tussen de EU en de VS op grond waarvan bedrijven gegevens over personen vanuit de EU mochten doorgeven aan de VS. Met de uitspraak zette het Hof een streep door het Privacy Shield.
Alleen als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, mogen zij ze nog doorgeven aan de VS. En aan andere landen waarmee de EU geen (geldige) afspraken heeft over bescherming van dergelijke gegevens.
Modelcontracten
De meest praktische oplossing voor bedrijven die persoonsgegevens willen doorgeven naar derde landen, is het gebruik van modelcontracten. Maar dat mag in de meeste gevallen alléén als een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen.
De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven zullen per geval moeten bekijken welke maatregel of combinatie van maatregelen nodig is om gegevens van personen goed te beschermen.
Bij twijfel: houd data in EU
Het zal niet altijd mogelijk zijn om aanvullende maatregelen te treffen die gegevens van EU-brugers voldoende beschermen. Sommige landen beschermen privacy en andere grondrechten onvoldoende. Daar hebben Europese bedrijven en Europese privacytoezichthouders weinig directe invloed op.
Als bedrijven persoonsgegevens willen opslaan in landen waar deze minder goed worden beschermd, is het hun eigen verantwoordelijkheid om te waarborgen dat dit alsnog net zo veilig gebeurt.
Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van deze gegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU.
VS
Een heet hangijzer is dus de Verenigde Staten. Veel bedrijven slaan data op in de VS. Nu wees de Europese rechter dit land specifiek aan als land waar data van Europeanen niet goed beschermd zijn. De veiligheidsdiensten in de VS mogen alle gegevens van Europese klanten en gebruikers van diensten op servers in de VS inzien en gebruiken. Ook kan de VS deze gegevens al onderscheppen vóórdat ze in de VS aankomen.
Het is daarom niet altijd mogelijk om te voorkomen dat de Amerikaanse veiligheidsdiensten inzage krijgen in deze privacygevoelige gegevens die naar de VS worden doorgegeven. Bovendien is de rechtsbescherming door een onafhankelijke rechter onvoldoende geregeld in de VS, concludeerde het Europese Hof van Justitie.
Het is dus van groot belang dat de VS zorgen voor een betere bescherming van persoonsgegevens. En het is nu aan de Amerikaanse regering en de Europese Commissie om te onderzoeken of er vervanging kan komen voor het Privacy Shield.
Lees ook:
- Maatregelen rond Privacy Shield binnenkort bekend
- Privacy Shield per direct ongeldig: wat nu?
