< p>

Het Privacy Shield is doorboord (Wat nu?)

29 oktober 2020

De Algemene verordening gegevensbescherming (AVG) stelt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte (derde landen) zoals de VS. Omdat het Hof van Justitie (het Hof) van de Europese Unie (EU) op 20 juli 2020 het EU-VS Privacy Shield (privacyschild) ongeldig heeft verklaard in de zaak Schrems II, mogen organisaties in de EU geen persoonsgegevens meer aan de Verenigde Staten (VS) doorgeven onder bescherming van het Privacy Shield. De voorganger van het Privacy Shield, het Safe Harbor-verdrag was reeds eerder door het Hof van Justitie van de Europese Unie buitenwerking gesteld[1].

Overgangsperiode ontbreekt

Anders dan bij het buitenwerking stellen van Safe-Harbor (de voorloper van het Privacy Shield) is er door het Hof geen overgangsperiode toegestaan totdat er een werkbare oplossing is gevonden ter vervanging van het Privacy Shield. De uitspraak is direct (vanaf 20 juli 2020) van kracht. Sinds half augustus 2020 onderhandelen de  EU en de VS over de opvolging van het Privacy Shield. In de onderhandelingen zal worden onderzocht of er potentieel aanwezig is om te komen tot een verbeterd Privacy Shield waar dan ook de verbeterde SCC’s weer als alternatief een rol kunnen spelen. De toezichthouder heeft laten weten dat de overkoepelende organisatie van toezichthouders in de EU, de European Data Protection Board (EDPB) bekijkt wat de praktische gevolgen van de uitspraak zijn. Het is de bedoeling dat de EDPB op korte termijn met guidance over aanvullende maatregelen komt die organisaties kunnen (of moeten) opnemen in de SCC’s.

Waar staan we nu?

Op moment zitten we praktisch gezien in een moeilijke situatie als het gaat om verwerking van privacygevoelige data buiten de EU.  In een update van Eurocommissaris Didier Reynders aan het Europese Parlement op 3 september j.l. benadrukt hij nog eens dat ‘protection must travel with the data’.  Die uitspraak laat weinig aan de verbeelding over.

De EDPB[2] benadrukt in hun FAQ  van Juli 2020 dat SCC’s[3] niet ongeldig zijn verklaard door de uitspraak van het Hof. Ook BCR’s[4] zijn technisch nog steeds beschikbaar. De vraag is echter of die nog als passend alternatief gehanteerd kunnen worden in de huidige vorm. Op dit moment is de Nederlandse AP nog niet aan het handhaven en heeft voor zover wij dat kunnen achterhalen, ook nog geen concrete instructie gegeven aan bedrijven om de doorgifte van persoonsgegevens met de VS te staken. Hierin neemt de Nederlandse AP dus, ondanks de duidelijke uitspraak van het Hof, een minder rigoureus standpunt in dan bijvoorbeeld de AP van Ierland. Mogelijk is dat te danken aan het vacuüm waar we ons nu in bevinden.

SCC’s met deugdelijke aantoonbaarheid

Volgens onderzoek van International Association of Privacy Professionals (IAPP) maakt bijna 90 procent van de organisaties die data delen buiten de EU gebruik van SCC’s. Bij de beoordeling van SCC’s is door het Hof vastgesteld dat ook daar risico’s zijn geconstateerd, met name inzake de (deugdelijke) aantoonbaarheid. Enkel de belofte van betrokken bedrijven in de SCC’s om zich aan de regels van de AVG (GDPR) te houden is niet voldoende volgens het Hof.

Wat kunnen we nu al doen?

Wie nu data deelt of gaat delen op grond van de huidige SCC’s moet binnen de mogelijkheden en op basis van een analyse van het rechtssysteem in het land van bestemming verifiëren of de ontvangende partij de afspraken in de SCC’s daadwerkelijk kan nakomen. Óf dat de ontvangende partij kan aantonen dat de verwerking een gelijke bescherming heeft als binnen de EU. Dit lijkt een lastige of zo niet onmogelijke opgave voor organisaties, maar de redding lijkt echter nabij als we Didier Reynders mogen geloven; hij gaf tijdens zijn eerder genoemde update in september aan dat wordt gestreefd naar de oplevering van aangepasten SCC’s voor het einde van dit jaar, waarbij de EDPB nog een opinie zal moeten geven.  In de tussenliggende periode kunt u wel vast uw risico’s in kaart brengen;

Toets de papierenafspraken die u met verwerkers heeft gemaakt.

  • Maak inzichtelijk ‘wie’ ‘wat’ ‘waar’ doet in de verwerkingsketen (fysiek of binnen de digitale verwerkingsketen).
  • Kijk daarbij met name waar privacygevoelige data op enige moment de EU verlaat. In de verwerkersovereenkomst met verwerkers (en achterliggende subverwerkers) moet opgenomen zijn of de privacygevoelige gegevens doorgegeven worden buiten de EU. Bij ontvangers moet dit in de voorwaarden ten aanzien van het gebruik of contractueel vastliggen. Dit zou ook in het verwerkingenregister terug te vinden moeten zijn.
  • Neem ook tool aanbieders in uw onderzoek op, hoe miniem de inzet van dit tool ook mag zijn.
  • Neem in voorkomende gevallen in uw privacy statement op dat u ook privacygevoelige gegevens buiten de EU verwerkt of laat verwerken.

[1] Max Schrems vs Facebook, uitspraak van het Europese Hof van Justitie 2015
[2] European Data Protection Board
[3] Standard contractual clauses of model contracten
[4] Binding Corporate Rules

Wilt u meer informatie? Neem contact met ons op.

Gerelateerde informatie

senior compliance / privacy adviseur

medior compliance / privacy adviseur met pit

E-communicatie en veiligheid

E-communicatie en veiligheid

Onlangs stond onderstaande op de website van DNB een bericht over het bewaken van de vertrouwelijkheid van informatie. Dat e-mailen naar privéadressen niet is toegestaan. Wij adviseren u om kennis te nemen van het betreffende artikel en met name ook aandacht te schenken aan de zaken waar u ‘nu’ al mee aan de slag kunt.

Send this to a friend