Persoonsgegevens uitwisselen met de Verenigde Staten is een grote uitdaging. Sinds het Privacy Shield in 2020 nietig werd verklaard, verkeren Europese organisaties continu in onzekerheid. Mogen we die Google/Microsoft/Amazon toepassing zomaar gebruiken of riskeren we dan een boete? Goed nieuws: de eerste stap richting een opvolger van het Privacy Shield is eindelijk gezet.
De situatie nu
Zomer 2020 zette de uitspraak in de zaak Schrems II de wereld van gegevensdoorgifte op zijn kop. Het Privacy Shield werd ongeldig verklaard. Ook werden er vraagtekens gezet bij de Standard Conctractual Clauses (SCC’s), oftewel de modelcontracten die veelvuldig gebruikt worden voor ‘veilige’ gegevensdoorgifte buiten Europa.
Intussen zijn er nieuwe SCC’s, maar aanvullende maatregelen blijven noodzakelijk om gegevens überhaupt rechtsgeldig door te mogen geven. Denk aan encryptie van data zonder sleutel.
Erg complex dus.
Aangezien we veel gebruikmaken van toepassingen van Amerikaanse techbedrijven, brengt het ontbreken van een Privacy Shield veel onzekerheid met zich mee.
Gebruik MailChimp ongeldig verklaard
Vorig jaar bleek maar weer hoe onzeker de huidige situatie is. Toen verklaarde een privacytoezichthouder in Beieren het gebruik van het Amerikaanse MailChimp door een Duits bedrijf onrechtmatig.
Hoewel er een SCC van toepassing was, had de Duitse organisatie namelijk niet onderzocht of er aanvullende waarborgen getroffen moesten worden.
Waarom dit een probleem is?
De belangrijkste reden voor het ongeldig verklaren van het Privacy Shield was de gegevenstoegang door Amerikaanse Inlichtingendiensten, zodra persoonsgegevens in Amerika worden verwerkt. De diensten hebben toegang tot deze (Europese) persoonsgegevens en mogen deze naar eigen inzicht verwerken.
Iets wat de AVG ten strengste verbiedt.
In het geval van MailChimp zijn er aanwijzingen dat Amerikaanse Inlichtingendiensten toegang hebben tot de gegevens van Mailchimp. Het Duitse bedrijf had niet beoordeeld of de aan MailChimp overgedragen gegevens tegen dergelijke toegang werden beschermd. Daardoor was de inzet van dit mailsysteem onrechtmatig.
Een dergelijke toetsing zullen vele organisaties achterwege hebben gelaten sinds het Privacy Shield nietig is verklaard.
Het is immers een nogal complexe en tijdrovende onderneming.
Eerste stap naar een Privacy Shield 2.0
Het Privacy Shield was een zogenaamd adequaatheidsbesluit. Als er een dergelijk besluit door de Europese Commissie is genomen, dan mogen we erop vertrouwen dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als binnen Europa.
Het sluiten van een modelcontract is dan niet nodig.
Een nieuw adequaatheidsbesluit, oftewel Privacy Shield 2.0, is dus dé oplossing om weer gewoon persoonsgegevens met Amerika te kunnen uitwisselen.
Onlangs hebben de Europese Commissie en de Amerikaanse regering een ‘politiek principeakkoord’ over de doorgifte van persoonsgegevens van de EU naar de VS bereikt.
Helaas lijkt de weg naar een nieuw adequaatheidsbesluit nog lang. Een aantal uitdagingen die in ieder geval getackeld moeten worden:
Amerikaanse Inlichtingendiensten hebben nu nog toegang tot Europese data die op Amerikaanse servers staat.
Amerikaanse Inlichtingendiensten hebben de mogelijkheid om data te onderscheppen die via onderzeekabels van de EU naar de VS stroomt.
Europeanen kunnen nu nog moeilijk juridische stappen ondernemen tegen Amerikaanse partijen bij een onafhankelijke toezichthouder of rechter.
Tot die tijd….
Tot het nieuwe adequaatheidsbesluit een feit is, is het voor organisaties alleen mogelijk om persoonsgegevens vanuit de EU naar de VS te exporteren als zij via een SCC én extra aanvullende maatregelen waarborgen dat die persoonsgegevens veilig zijn.
Lukt dat niet?
Dan moet u hopen dat u een uitzonderingsgrond heeft. Zo niet, dan is de doorgifte in principe niet toegestaan en riskeert u een boete als u het wel doet.
Zeker weten dat u niks mist?
Wij houden de actualiteiten rondom de AVG en het Privacy Shield nauwlettend in de gaten. Als er nieuws is, delen we dat in onze blog met u.
Op de hoogte blijven?
Meldt u zich dat aan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.