EU-VS privacy shield ongeldig, wat nu?

Je hebt er vast wel eens over gehoord: EU-VS privacy shield.

Afgelopen juli verklaarde het Hof van Justitie van de Europese Unie het privacy shield ongeldig.

Maar wat zijn nu de gevolgen van die ongeldigheid en wat voor acties moet jij ondernemen?

EU-VS privacy shield
Het EU-VS Privacy Shield is een overeenkomst tussen het Amerikaanse ministerie van Economische zaken en de Europese commissie over de uitwisseling van persoonsgegevens tussen bedrijven in de EU en de VS. Het ging op 1 augustus 2016 van kracht en vervangt het Safe Harbor- verdrag.

De Amerikaanse overheid controleert of bedrijven met een certificering zich aan de regels houden. Bij overtreding kan de overheid dit certificaat intrekken. Zodra een bedrijf gecertificeerd is, is het Europese Modelcontract overbodig geworden. Bij een Amerikaanse ombudsman kunnen Europese burgers een klacht indienen als zij vinden dat een Amerikaans bedrijf of de overheid de privacy schendt. Dit is kosteloos en onafhankelijk, waarbij er binnen 45 dagen moet zijn geantwoord. Ook heeft de Amerikaanse overheid toegezegd niet uitgebreid te gaan controleren en acties uit te voeren op Europese persoonsgegevens en de inlichtingendienst mag de data van Europese bedrijven niet meer gebruiken.

Ongeldig verklaard
Op 16 juli 2020 werd het EU-VS Privacy Shield ongeldig verklaard door het hof. Dit heeft grote gevolgen voor de uitwisseling van persoonsgegeven tussen de EU en de VS. Een Oostenrijkse student vond de doorgifte van persoonsgegevens van Facebook Ierland naar het moederbedrijf in de VS in strijd met het Europees recht. Naar zijn mening worden de gegevens in de VS te weinig beschermd. Het hof gaf hem gelijk en verklaarde het Safe Harbor-verdrag ongeldig in 2015.

In deze nieuwe zaak verklaarde het hof het EU-VS Privacy Shield ook ongeldig. De VS biedt geen passende bescherming voor de persoonsgegevens en de rechten en vrijheden van de Europese betrokkenen. Op grond van Amerikaanse wetgeving hebben de inlichtingen- en veiligheidsdiensten het recht om gegevens van EU-burgers in te zien en te gebruiken. Zelfs wanneer het om niet-noodzakelijke gegevens gaat.

Gevolgen
Bijna elke ondernemer maakt gebruik van een Amerikaanse dienstverlener en verwerkt daarbij gegevens van klanten, websitebezoekers of medewerkers in de VS. Het gevolg van de nietig verklaring is dat persoonsgegevens niet meer op grond van het EU-VS Privacy Shield kunnen worden doorgegeven aan de VS. Dat geldt ook voor goede doelen die gebruik maken van Amerikaanse diensten voor dagelijkse werkzaamheden. Bijvoorbeeld Facebook en Twitter. Wil je als Nederlands bedrijf aan de AVG blijven voldoen? Dan zul je zelf afspraken moeten maken met dienstleveranciers over de privacy.

De AVG en een Alternatief
De AVG stelt dat persoonsgegevens niet mogen worden doorgegeven en opgeslagen buiten de EER (Europese Economische Ruimte). Dit mag alleen als in die landen ook aan de eisen van de AVG wordt voldaan. Of als er een alternatief is.

Daarbij kan je denken aan het sluiten van een modelcontract met de ontvanger in het derde land. Dit model is door de Europese Commissie opgesteld en door het hof geldig bevonden. Maar er moet per doorgifte worden beoordeeld of het recht van het derde land genoeg bescherming biedt voor de persoonsgegevens die, op basis van het contract, worden doorgegeven. Dat lijkt voor de VS niet zo te zijn. In zo’n situatie zijn waarborgen nodig of moet de doorgifte worden beëindigd.

Wat moet je doen?

1. Gegevens buiten de EU verwerkt
Als eerste is het belangrijk te kijken welke gegevens buiten de EER worden verwerkt. Kijk bijvoorbeeld waar de servers staan van de cloud dienst die je gebruikt, maar ook cookies, sociale media kanalen en videobel systemen moeten gecontroleerd. In het verwerkingsregister staat vermeld of de gegevens buiten de EER terecht komen. Daarbij is het belangrijk of deze up-to-date is.

2. Contracten met ontvangers in de VS
Persoonsgegevens kunnen ook buiten de EER komen via leveranciers naar de VS of andere landen. Dat moet in de verwerkersovereenkomst staan. Is deze overeenkomst niet duidelijk? Doe dan navraag!

3. Controleer op welke basis gegevens worden doorgegeven
Ga op zoek naar een alternatief als dit op basis is van het EU-VS Privacy Shield. Een Amerikaanse ontvanger kan je een voorstel doen. Is er een modelcontract gesloten met de ontvanger? Dan moet je nagaan of aanvullende waarborgen gewenst zijn. Bijvoorbeeld welke waarborgen er door de ontvanger zijn getroffen met betrekking tot de gegevens. Denk hierbij aan ‘end-to-end encryption’, zodat ze niet leesbaar zijn voor overheidsinstanties.

4. Wijzig je privacyverklaring
Het is verstandig uit je privacyverklaring te halen dat gegevens worden doorgegeven op basis van de EU-VS Privacy Shield. Bij gebruik van een modelcontract zet je het in de verklaring. Je kunt een hyperlink toevoegen naar het standaard modelcontract van de Europese Commissie. Heb je nog geen alternatief? Wees transparant en maak kenbaar dat je zoekt naar een goed alternatief om de gegevens goed te beschermen.

Heb jij nog vragen over het EU-VS privacy shield?

Stuur me dan een berichtje!

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.