Binnenkort komt er duidelijkheid over een nieuw Privacy Shield. Na de eerste week van oktober moet duidelijk zijn welke maatregelen bedrijven moeten nemen om te zorgen voor een goede en veilige gegevensuitwisseling tussen de VS en Europa. Europese privacy-toezichthouders zijn bezig met het opstellen van richtlijnen. NLdigital heeft haar twijfels.
Het Europees Comité voor gegevensbescherming (EDPB) brengt de aanbevelingen nog deze maand uit, zo laat minister Sander Dekker van Rechtsbescherming weten in een brief aan de Tweede Kamer.
De Kamerbrief is een reactie op een brandbrief van branche-organisatie NL-digitaal die de regering opriep tot duidelijkheid. Sinds het Europese Hof van Justitie twee jaar geleden de regeling met de VS, Privacy Shield, in de prullenbak gooide, is er grote onduidelijkheid rond de opslag van Europese persoonsgegevens in de VS en vice versa. Bedrijven weten in veel gevallen niet hoe ze deze zaken moeten aanpakken.
Houvast
De enige houvast zijn nu nog de modelcontracten van de Europese Commissie. NLdigital vindt ze echter problematisch. De implementatie van de zogeheten Standard Contractual Clauses (SCC’s) is lastig. En de aanvullende voorwaarden van het Europese Hof maken het helemaal moeilijk. Probleem hierbij is vooral dat de absolute voorwaarde dat er sprake moet zijn van een ‘gelijkwaardig beschermingsniveau’.
Hoe dat er concreet uit moet zien is voor veel bedrijven niet duidelijk. En aanvullende bepalingen in contracten tussen bedrijven dekken het probleem niet voldoende af.
NLdigital
Volgens NLdigital is een punt van aandacht in de reactie van minister de verwijzing naar artikel 49 AVG als oplossing voor het probleem. “Minister Dekker wekt mogelijk de indruk dat art. 49 AVG tijdelijk als een soort vangnet kan fungeren, maar dat is niet het geval. Dit artikel is in de praktijk geen structurele oplossing.”
Volgens de branchevereniging wekt de reactie de indruk dat de minister zich bewust is van de problemen maar de volle omvang ervan (wellicht) nog niet inziet. “Bedrijven – van alle sectoren en groottes – zitten klem totdat er een politieke oplossing wordt gevonden. We roepen de minister dan ook op om op dit dossier een voortrekkersrol op zich te nemen en de Europese Commissie en de European Data Protection Board actief te vragen dit dossier met grote urgentie te behandelen.”
De branchevereniging vindt dat het volgende moet gebeuren
- De EU moet internationaal leiderschap tonen om een sterke en stabiele
juridische basis voor internationale gegevensstromen tussen de EU en derde
landen te waarborgen. - De Europese Commissie (EC) en de VS moeten zo snel mogelijk onderhandelen over een mogelijke opvolger van het PS-besluit en duidelijkheid bieden over de planning
- De EC dient, in consulatie met stakeholders, zo snel mogelijk gemoderniseerde SCC’s gereed te maken
- De toezichthoudende autoriteiten dienen op korte termijn en op geharmoniseerde wijze duidelijk te maken wat onder de te nemen ‘aanvullende maatregelen’ moet worden verstaan en wanneer ze ‘passend’ zijn
- De EC en toezichthoudende autoriteiten dienen eenduidige en geharmoniseerde informatie op te stellen en te verstrekken over het beschermingsniveau van persoonsgegevens in derde landen
- Er dient een grace period te komen waarin de toezichthoudende autoriteiten niet tot handhaving overgaan
Brexit ook
In een reactie op de punten van NLdigital stelt de minister dat hij zich bewust is van de gevolgen voor het bedrijfsleven en andere organisaties van de uitspraak in de zaak
Schrems II. De ongeldigverklaring van het PS-besluit betekent dat
bedrijven zich daar niet meer op kunnen beroepen. De minister stelt daarbij meteen wel dat niet de haast maar de zorgvuldigheid belangrijk is.
Verder wil de minister samen met Europa ook snel helderheid krijgen over Brexit en het uitwisselen van persoonsgegevens. Als het tegenzit gaat er per 31 december dit jaar een harde Brexit gelden. De Europese Commissie gaf eerder al aan dat dit vooruitzicht tot een onderzoek moet leiden.
Lees ook:
- Nieuw securityboek over leiderschap in het digitale veiligheidsdomein
- Privacy Shield per direct ongeldig: wat nu?
