Privacy Shield ingetrokken. Mag je nog persoonsgegevens naar de VS sturen?
Was Privacy Shield voor jouw organisatie de manier om gegevensuitwisseling met de VS te borgen? Dan ben je in overtreding van de wet (AVG / GDPR).
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlOp 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig (de zaak Schrems II). Dat betekent dat organisaties in de EU geen persoonsgegevens aan de Verenigde Staten (VS) meer kunnen doorgeven op grond van het Privacy Shield. Was Privacy Shield voor jouw organisatie de manier om dat te borgen? Dan ben je in overtreding van de wet (AVG / GDPR).
In overtreding van de wet?
Je leest het goed: dan ben je in overtreding van de wet. Maar: Keep calm (and check your stuff).
Een uitzondering is namelijk wanneer er een bepaald type overeenkomst is getroffen: de zogenaamde Standard Contractual Clause (SCC). Grote IT-aanbieders uit de VS zijn natuurlijk ook niet gek en voorbereid op deze overeenkomst, dus de Standard Contractual Clauses zijn vaak ingebakken in hun aanbod. Zo zijn bijvoorbeeld Google, Hubspot en Microsoft contracten voorzien van dit soort overeenkomsten.
Toen Privacy Shield nog actief was, hoefden deze echter niet op voorhand geautoriseerd te worden: Privacy Shield was voldoende. Sommige SCC zijn duidelijk gedateerd.
Scherper toetsen op SCC
Van de SCC heeft het hof nu gezegd dat deze scherper getoetst zullen moeten worden. Op langere termijn is de uitkomst van die toetsing in het geval van de VS waarschijnlijk dat er op basis van Amerikaanse wetgeving steeds onvoldoende zekerheid is, dus dat contract niet mag worden toegepast. Vooralsnog werken die overeenkomsten dus wel.
Er is geen overgangsperiode. In principe kan de Autoriteit Persoonsgegevens je vanaf nu een miljoenenboete geven als je persoonsgegevens naar de VS stuurt zonder dat er SCC zijn. Mogelijk een geruststelling: dit geldt niet voor privégebruik. Je kunt privé blijven Facebooken.
Wat moet je met dit feit? De Autoriteit Persoonsgegevens gaf bij haar laatste update aan dat de EU-toezichthouder (EDPB) bekijkt wat de praktische gevolgen en eventuele vervolgstappen van de uitspraak kunnen zijn. Zij komen “op korte termijn” met richtlijnen over aanvullende maatregelen die organisaties kunnen opnemen in de modelcontracten. Zoals hierboven al genoemd hebben meerdere privacydeskundigen al aangegeven dat dit alleen een theoretische oplossing is, omdat landelijke toezichthouders die modelcontracten zouden moeten toetsen en in het geval van de VS, die toets niet zou slagen. Die ontwikkelingen gaan echter niet zó snel dat er even niet op de EDPB gewacht kan worden.
De vorige keer dat afspraken tussen de EU en de VS in de prullenmand gingen (Safe Harbor), werd het Privacy Shield geïntroduceerd als oplossing. Het belang van EU en VS bedrijven om samen te kunnen werken is groot. Meer dan 5.000 VS bedrijven zijn ingeschreven bij Privacy Shield, waaronder grote namen: Amazon, DropBox, Facebook, Google, Hubspot, LinkedIn, Microsoft. Het is redelijk om te denken dat er een vervolg of een andere tijdelijke oplossing komt. Zolang de Amerikaanse wet echter niet aangepast wordt en fundamentele privacyproblemen voor de EU burger bevat, zal ook de opvolger blijven rammelen. Op langere termijn dus zeker een risico om mee te nemen bij de bedrijfsvoering.
Stappenplan: wat kun je (nu) doen?
Voor nu dus een kort stappenplan, terwijl we wachten:
- Controleer in hoeverre je gegevens naar de VS gaan. Dat vind je terug in je register van verwerkingsactiviteiten. Omgekeerd kun je kijken welke leveranciers van Privacy Shield gebruik maakten (https://www.privacyshield.gov/list). Geen gegevens naar de VS? Dan ben je gelijk klaar met dit stappenplan. Let wel op: je leveranciers werkten mogelijk op hun beurt weer met leveranciers uit de VS, dus ga ook de keten na!
- Van de gegevens die je wel stuurde: zoek uit of er voor de dienst die je gebruikt al Standard Contractual Clauses in gebruik waren.
- Behandel deze ontwikkeling en het register in directieoverleg. Hoe ga je om met dit risico? Je kunt waarschijnlijk niet morgen je hele IT-keten omgooien, maar het is wel belangrijk om te laten zien dat je actie onderneemt op dit punt.
- Pas je privacyverklaring aan indien nodig. Onder de AVG moet je de betrokkene informeren wanneer je dienstverlening verandert. Je hebt oplossingen misschien nog niet overal beschikbaar (richtlijnen moeten immers nog volgen), maar je kunt al wel laten weten dat je je best doet om belangen te beschermen.
- Controleer bij de bestaande directe leveranciers of je al kunt selecteren dat de gegevens in de EU moeten blijven. Als dat kan: doe dat.
- Houd de websites van de Autoriteit Persoonsgegevens en de EDPB goed in de gaten. Let dan met name op de verantwoordelijkheid die je organisatie heeft om je leverancier goed te monitoren.
- Controleer bij je leveranciers in de EU, wat zij doen om hún leveranciers te controleren (en bij te sturen waar nodig).
Voor de langere termijn:
- Inventariseer welke alternatieve (EU) aanbieders er zijn die je gegevens wel in de EU houden. Let daarbij goed op bij VS-aanbieders met dochtervestigingen in de EU: je wil een leverancier onder EU wet met servers in de EU.
- Actualiseer, als je ISO 27001 gecertificeerd bent, je overzicht van wet- en regelgeving en behandel deze ontwikkeling bij de directiebeoordeling.
En nog een bonus tip: sommige IT-diensten zijn privacyvriendelijk in te stellen. Zie bijvoorbeeld Google Analytics: hiervoor heeft de Autoriteit Persoonsgegevens al jaren geleden een handleiding voor privacyvriendelijke instellingen gepubliceerd.
Meer informatie?
Vragen over de impact van deze wetswijziging of hulp nodig bij het uitzoeken van de impact voor jouw organisatie? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlVoldoe je aan de NIS2-wetgeving?
Krijg direct inzicht en voldoe tijdig aan de eisen!
- Praktische tips
- Advies op maat
- Vrijblijvende offerte