Op 16 juli was het Hof van Justitie van de Europese Unie het Privacy Shield met onmiddellijke ingang ineens ongeldig. NLDigital geeft tips over hoe bedrijven toch veilig kunnen doorwerken.
De tips zijn vooral belangrijk voor organisaties die samenwerken met Amerikaanse partijen. Dat gebeurt bijvoorbeeld als de hostingpartij van een bedrijf daar servers heeft staan. Dat is bijvoorbeeld het geval als een bedrijf werkt met een Amerikaanse Saas-partij, e-mailtool of app.
Het kan ook gaan om om een moeder-, dochter- of zusterbedrijf met wie een bedrijf gegevens uitwisselt of bepaalde onderhouds- of servicediensten die vanuit de VS worden geleverd en waarbij op systemen van het Nederlandse bedrijf wordt ingelogd.
Uitzoeken
Let wel: dat een bedrijf in de VS is gevestigd, betekent niet dat de gegevens ook met de VS worden uitgewisseld. NLDigital raadt aan dit altijd eerst uit te zoeken. Het gaat om bedrijven die samenwerken met partijen uit de VS die voor het bedrijf gegevens verwerken, persoonsgegevens verwerkt in de VS of doorgeeft aan een partij die dat doet. Daar was het ,Privacy Shield of Standard Contractual Clauses voor bedoeld.
Door het wegvallen van Privacy Shield als basis voor het uitwisselen van gegevens met de VS en de onduidelijkheid over welke extra waarborgen eventueel nodig zijn als je met standard contractual clauses werkt, is er een vacuüm ontstaan, Het is nu voor bedrijven onduidelijk hoe zij de gegevensuitwisseling nu moeten inrichten.
NLDigital doet een aantal concrete aanbevelingen
Wisselt jouw organisatie gegevens uit met een partij in de Verenigde Staten? Dan is het voor nu met name van belang dat jouw technische en organisatorische maatregelen up to date zijn om het vereiste beschermingsniveau van persoonsgegevens te waarborgen. Zorg ervoor dat je kan voldoen aan de transparantieverplichtingen en dat je datalekkenprotocol op orde is.
Dit is niets nieuws onder de zon: het voldoen aan privacyrechtelijke verplichtingen en de regels rondom internationale datastromen is een continu proces. Je moet voortdurend bekijken of de manier waarop je vandaag dingen doet, morgen nog wel de juiste is. Als je daarnaast je handelingen goed documenteert en bewaart kan je achteraf aantonen op welke manier je persoonsgegevens verwerkt conform de Avg.
Het is daarnaast verstandig dat je goed bent voorbereid op eventuele vragen van je klanten over je internationale doorgifte van persoonsgegevens. Zorg ervoor dat je alle informatie op een rijtje hebt en je je verdiept in onderstaand stappenplan. Je kunt dit stappenplan ook downloaden.
Download stappenplan
Bepaal eerst of jouw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten.
Maak je bijvoorbeeld gebruik van een Amerikaanse subverwerker die is aangesloten bij het Privacy Shield, of heb je een klant de gevestigd is buiten de EU/EER? Dan kan het zijn dat je persoonsgegevens doorgeeft aan een land buiten de EU/EER. Nee? Dan hoef je niets te doen.
Ja? Bepaal dan op basis van welke afspraken je persoonsgegevens doorgeeft aan een partij in de Verenigde staten.
Je geeft persoonsgegevens door aan een bedrijf dat gevestigd is in de Verenigde Staten en is aangesloten bij het Privacy Shield.
Het Privacy Shield is ongeldig verklaard en er geldt geen adequaatheidsbesluit meer voor de VS. Hierdoor kun je alleen nog persoonsgegevens doorgeven als er ‘passende waarborgen’ worden geboden. Eén van die passende waarborgen zijn de modelcontractsbepalingen van de EC. Het is aan te raden om een overstap naar het gebruik van modelcontractsbepalingen in gang te zetten.
Je maakt voor doorgifte van persoonsgegevens aan landen buiten de EU/EER gebruik van modelcontractsbepalingen
De modelcontractsbepalingen kunnen wel gebruikt blijven worden voor doorgifte aan landen buiten de EU/EER, maar alleen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd. Dit kan betekenen dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen.
Bereid de overstap naar of uitbreiding van modelcontractsbepalingen voor. Jouw organisatie kan zich momenteel het beste gaan voorbereiden op het goed toepassen van modelcontractsbepalingen:
Bepaal per situatie of er in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd.
Kijk naar de ‘relevante aspecten van het rechtsstelsel’ van dat land. Met name wanneer het recht van dat land de overheidsinstanties van dat land toestaat om in te grijpen in de rechten van de betrokkenen met betrekking tot persoonsgegevens, is volgens het Hof het gebruik van enkel de modelcontractsbepalingen zonder aanvullende waarborgen onvoldoende voor een gelijkwaardig beschermingsniveau.
Bepaal aan de hand daarvan of er aanvullende waarborgen geboden moeten worden.
Stop met het uitwisselen van gegevens naar de Verenigde Staten als je geen nieuwe afspraken kunt maken
Lukt het jouw organisatie niet om samen met de partij in de Verenigde Staten de modelcontractsbepalingen toe te passen of aan te vullen? Dan ben je verplicht om de doorgifte van persoonsgegevens naar het betrokken derde land op te schorten of te beëindigen. Het is in dat geval uiteraard een optie om te werken met een andere partij waarmee wel passende afspraken gemaakt kunnen worden.
Wordt er in Nederland gehandhaafd op doorgifte naar de VS?
De European Data Protection Board (EPDB) stelt dat zij een verdere verduidelijking van en richtsnoeren voor de uitspraak gaan publiceren. Het lijkt waarschijnlijk dat de Autoriteit Persoonsgegevens wacht met handhaving totdat de EDPB met deze verduidelijking komt, Daarvoor is echter geen garantie.
Daarnaast staat in het evaluatierapport van de Avg van de EC dat de EC werkt aan een modernisering van de modelcontractsbepalingen. Het lijkt dus verstandig om deze Europese ontwikkelingen nog even af te wachten, voordat je grote wijzigingen of een overstap naar de modelcontractsbepalingen gaat doorvoeren. Het is namelijk een flinke opgave om elke keer het beschermingsniveau in de praktijk uit te moeten zoeken als je persoonsgegevens doorgeeft naar een land buiten de EU/EER. Dit geldt zeker voor kleine en middelgrote bedrijven en/of bedrijven die geen juristen in huis hebben.
Wat is het Privacy Shield?
Bedrijven mogen persoonsgegevens uitsluitend doorgeven naar landen buiten de EU/EER als er sprake is van een in essentie gelijkwaardige bescherming aan het beveiligingsniveau van de Avg. Er zijn een aantal manieren om je te verzekeren van dat gelijkwaardige beschermingsniveau.
De meest eenvoudige manier is op basis van een zogenaamd adequaatheidsbesluit van de Europese Commissie (EC). Het EU-VS privacyschild-verdrag (of ‘Privacy Shield’) was zo een adequaatheidsbesluit. Op basis daarvan was de Verenigde Staten een ‘veilig land’ op voorwaarde dat een bedrijf was aangesloten bij Privacy Shield.
Een andere manier om dit beschermingsniveau te waarborgen is door in je overeenkomsten met bedrijven buiten de EU/EER gebruik te maken van standaardbepalingen. dit is de Standard Contractual Clauses, opgesteld door de EC).
