29 juli 2020

Privacy Shield per direct ongeldig: wat nu?

PRIVACY, HELPDESK JURIDISCH

Op 16 juli heeft het Hof van Justitie van de Europese Unie het Privacy Shield met onmiddelijke ingang ongeldig verklaard. Dit gebeurde in de spraakmakende zaak Schrems II, waarin Max Schrems opnieuw klaagde over doorgifte van zijn gegevens naar de Verenigde Staten. Geeft jouw organisatie persoonsgegevens door aan een partij in de VS? Dan leggen we je uit welke stappen je kunt ondernemen.

Wanneer is dit relevant?

Werkt jouw organisatie samen met Amerikaanse partijen? Bijvoorbeeld omdat je hostingpartij daar servers heeft staan, omdat je werkt met een Amerikaanse Saas-partij, e-mailtool of app of omdat je op een andere manier gegevens uitwisselt met de Verenigde Staten. Je kunt ook denken aan een moeder-, dochter- of zusterbedrijf met wie je gegevens uitwisselt of bepaalde onderhouds- of servicediensten die vanuit de VS worden geleverd en waarbij op jullie systemen wordt ingelogd.

Let wel: dat een bedrijf in de VS is gevestigd, betekent op zichzelf nog niet dat de gegevens ook met de VS worden uitgewisseld. Als je hierover twijfelt, vraag het dan na bij de betreffende partij.

Eerder dit jaar publiceerden we deze blog over het verwerken van persoonsgegevens in het buitenland. Als jij zelf of een partij die vóór jou gegevens verwerkt persoonsgegevens verwerkt in de VS of doorgeeft aan een partij die dat doet, dan maak je – als het goed is – gebruik van Privacy Shield of Standard Contractual Clauses.

Achtergrond: Wat is het Privacy Shield?

Persoonsgegevens mogen uitsluitend worden doorgegeven naar landen buiten de EU/EER als er sprake is van een in essentie gelijkwaardige bescherming aan het beveiligingsniveau van de Avg. Er zijn een aantal manieren om je te verzekeren van dat gelijkwaardige beschermingsniveau.

De meest eenvoudige manier is op basis van een zogenaamd adequaatheidsbesluit van de Europese Commissie (EC). Het EU-VS privacyschild-verdrag (of ‘Privacy Shield’) was zo een adequaatheidsbesluit. Op basis daarvan was de Verenigde Staten een ‘veilig land’ op voorwaarde dat een bedrijf was aangesloten bij Privacy Shield.
Een andere manier om dit beschermingsniveau te waarborgen is door in je overeenkomsten met bedrijven buiten de EU/EER gebruik te maken van standaardbepalingen (‘Standard Contractual Clauses’, opgesteld door de EC).

Stappenplan: zo blijf je Avg-proof

Door het wegvallen van Privacy Shield als basis voor het uitwisselen van gegevens met de VS en daarnaast de onduidelijkheid over welke extra waarborgen eventueel nodig zijn als je met standard contractual clauses werkt, is er een vacuüm ontstaan en is het voor bedrijven onduidelijk hoe zij de gegevensuitwisseling nu moeten inrichten. NLdigital kan dit niet wegnemen, want die onduidelijkheid is er nu eenmaal, maar we helpen je graag een stapje verder.

Heb je basis op orde

Wisselt jouw organisatie gegevens uit met een partij in de Verenigde Staten? Dan is het voor nu met name van belang dat jouw technische en organisatorische maatregelen up to date zijn om het vereiste beschermingsniveau van persoonsgegevens te waarborgen. Zorg ervoor dat je kan voldoen aan de transparantieverplichtingen en dat je datalekkenprotocol op orde is.

Dit is niets nieuws onder de zon: het voldoen aan privacyrechtelijke verplichtingen en de regels rondom internationale datastromen is een continu proces. Je moet voortdurend bekijken of de manier waarop je vandaag dingen doet, morgen nog wel de juiste is.

Als je daarnaast je handelingen goed documenteert en bewaart kan je achteraf aantonen op welke manier je persoonsgegevens verwerkt conform de Avg.

Krijg inzicht in je internationale gegevensuitwisseling

Het is daarnaast verstandig dat je goed bent voorbereid op eventuele vragen van je klanten over je internationale doorgifte van persoonsgegevens. Zorg ervoor dat je alle informatie op een rijtje hebt en je je verdiept in onderstaand stappenplan. Je kunt dit stappenplan ook downloaden.

 

  1. Bepaal of jouw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten.
    Maak je bijvoorbeeld gebruik van een Amerikaanse subverwerker die is aangesloten bij het Privacy Shield, of heb je een klant de gevestigd is buiten de EU/EER? Dan kan het zijn dat je persoonsgegevens doorgeeft aan een land buiten de EU/EER. Nee? Dan hoef je niets te doen.
  2. Ja? Bepaal dan op basis van welke afspraken je persoonsgegevens doorgeeft aan een partij in de Verenigde staten.
    • Je geeft persoonsgegevens door aan een bedrijf dat gevestigd is in de Verenigde Staten en is aangesloten bij het Privacy Shield
      Het Privacy Shield is ongeldig verklaard en er geldt geen adequaatheidsbesluit meer voor de VS. Hierdoor kun je alleen nog persoonsgegevens doorgeven als er ‘passende waarborgen’ worden geboden. Eén van die passende waarborgen zijn de modelcontractsbepalingen van de EC. Het is aan te raden om een overstap naar het gebruik van modelcontractsbepalingen in gang te zetten.
    • Je maakt voor doorgifte van persoonsgegevens aan landen buiten de EU/EER gebruik van modelcontractsbepalingen
      De modelcontractsbepalingen kunnen wel gebruikt blijven worden voor doorgifte aan landen buiten de EU/EER, maar alleen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd. Dit kan betekenen dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen.
  3. Bereid de overstap naar of uitbreiding van modelcontractsbepalingen voor.
    Jouw organisatie kan zich momenteel het beste gaan voorbereiden op het goed toepassen van modelcontractsbepalingen:

    • Bepaal per situatie of er in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd.
      Er moet gekeken worden naar de ‘relevante aspecten van het rechtsstelsel’ van dat land. Met name wanneer het recht van dat land de overheidsinstanties van dat land toestaat om in te grijpen in de rechten van de betrokkenen met betrekking tot persoonsgegevens, is volgens het Hof het gebruik van enkel de modelcontractsbepalingen zonder aanvullende waarborgen onvoldoende voor een gelijkwaardig beschermingsniveau.
    • Bepaal aan de hand daarvan of er aanvullende waarborgen geboden moeten worden.
  4. Stop met het uitwisselen van gegevens naar de Verenigde Staten als je geen nieuwe afspraken kunt maken
    Lukt het jouw organisatie niet om samen met de partij in de Verenigde Staten de modelcontractsbepalingen toe te passen of aan te vullen? Dan ben je verplicht om de doorgifte van persoonsgegevens naar het betrokken derde land op te schorten of te beëindigen. Het is in dat geval uiteraard een optie om te werken met een andere partij waarmee wel passende afspraken gemaakt kunnen worden.

Wordt er in Nederland gehandhaafd op doorgifte naar de VS?

De European Data Protection Board (EPDB) heeft aangegeven een verdere verduidelijking van en richtsnoeren voor de uitspraak te publiceren. Het lijkt waarschijnlijk dat de Autoriteit Persoonsgegevens wacht met handhaving totdat de EDPB met deze verduidelijking komt, maar er is geen garantie.

Daarnaast is in het evaluatierapport van de Avg van de EC te lezen dat de EC bezig is met een modernisering van de modelcontractsbepalingen. Het lijkt dus verstandig om deze Europese ontwikkelingen nog even af te wachten, voordat je grote wijzigingen of een overstap naar de modelcontractsbepalingen gaat doorvoeren. Het is namelijk een flinke opgave om elke keer het beschermingsniveau in de praktijk uit te moeten zoeken als je persoonsgegevens doorgeeft naar een land buiten de EU/EER, zeker voor kleine en middelgrote bedrijven en/of bedrijven die geen juristen in huis hebben.

Hoe helpt NLdigital jouw organisatie?

NLdigital houdt de ontwikkelingen rondom deze uitspraak, de eventuele handhaving en alternatieve afspraken scherp in de gaten. We kunnen jouw organisatie helpen om de eerste stappen ter voorbereiding te zetten, of je voorzien van breder Avg-advies.

Op onze website en in ons Data Pro oriëntatiepakket vind je veel informatie over specifieke onderdelen van de Avg. Onze juristen geven advies en ondersteuning op het gebied van privacy en Avg. Ook kunnen bedrijven die hun klanten willen laten zien dat ze privacy serieus nemen en verantwoord omgaan met persoonsgegevens, zich laten certificeren. Certificering gebeurt op basis van de Avg-gedragscode van NLdigital, de Data Pro Code.

 

NLdigital respecteert jouw privacy. Daarom geven we je de controle over de manier waarop wij met je data omgaan.

In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Privacystatement
Instellingen

NLdigital respecteert jouw privacy

Daarom geven we je de controle over de manier waarop wij met je data omgaan. In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Deze cookies zijn noodzakelijk voor het tonen van de website en de bijbehorende functionaliteit, en voor het uitvoeren van de gevraagde dienstverlening.

Lees meer

We optimaliseren continu onze website. Daarvoor analyseren we websitebezoek via Google Analytics. Dit hebben we op de privacyvriendelijke wijze, volgens de handleiding van de Autoriteit Persoonsgegevens, ingericht.

Lees meer

Met Linkedincampagnes introduceren we ons collectief en onze diensten in de digitale sector. We slaan gegevens over websitebezoek op om de effectiviteit van onze advertenties te meten, om advertenties te leveren die relevant zijn en om het aantal keren dat je een advertentie ziet te beperken.

Lees meer
Vergeet alles Jouw voorkeuren zijn verwijderd