De European Data Protection Board (EDPB) heeft in duidelijke taal gereageerd op de uitspraak in de zaak Schrems II. Het Privacy Shield is volledig van de baan én er komt geen overgangsperiode. Wie persoonsgegevens wil blijven doorgeven aan de VS moet passende waarborgen treffen of toestemming vragen aan de Autoriteit Persoonsgegevens. Een overzicht van de gevolgen en een concreet actieplan.

Privacy Shield Schrems II AVG

In een eerdere blog schetsten we de uitkomst van de zaak Schrems II. Daarin werd het Privacy Shield ongeldig verklaard. Met name omdat Amerikaanse inlichtingen- en veiligheidsdiensten verregaande rechten hebben om gegevens van EU-burgers in te zien en te gebruiken. Dit is in strijd met de Europese privacywetgeving.

De European Data Protection Board (EDPB) heeft op de uitspraak gereageerd met een FAQ. In klare taal geeft de EDPB te verstaan dat het Privacy Shield per direct van de baan is. U mag dus geen gegevens meer uitwisselen aan organisaties in de VS op basis van het Privacy Shield.

Wat nu?

Alternatieven: SCC en BCR

In de uitspraak Schrems II zijn de Standard Contractual Clauses (SCC) en de Binding Corporate Rules (BCR) niet ongeldig verklaard.

Dit geeft u echter geen garanties.

Deze overeenkomsten mogen enkel ingezet worden als het betreffende derde land een gelijkwaardig beschermingsniveau kent. Het Europese Hof heeft door de uitspraak laten weten dat Amerika dit niveau niet (langer) heeft.

Aanvullende waarborgen of opschorting van doorgifte

Vanaf nu moet u de persoonsgegevens bij doorgifte kunnen beschermen tegen Amerikaans toezicht. Inzage, verwerking of opslag van gegevens op Amerikaans grondgebied zonder die passende bescherming is niet toegestaan.

Aanvullende waarborgen zijn noodzakelijk. Uitgebreide encryptie zonder sleutel in Amerika lijkt de enige mogelijkheid om nog gegevens door te kunnen geven aan een organisatie op Amerikaans grondgebied.

Geeft u gegevens (via een (sub)verwerker) door aan de VS en komt u tot de conclusie dat er geen passende waarborgen getroffen kunnen worden? Dan moet u de gegevensuitwisseling opschorten of beëindigen.

Zo niet, dan kunt u worden beboet door de toezichthouder.

Privacy Shield Amerika ongeldig

Toch doorgaan met gegevensdoorgifte naar de VS?

Is opschorten of beëindigen geen optie? Is de doorgifte van persoonsgegevens naar de VS noodzakelijk? Dan bent u verplicht om dit te melden aan de Autoriteit Persoonsgegevens (AP). Deze kan u vervolgens controleren.

De AP heeft nog niet concreet gemaakt hoe u deze melding precies moet maken.

Uitzonderingen (artikel 49 AVG)

Er zijn altijd uitzonderingen op de regel. Ook in de AVG zijn er specifieke uitzonderingen op het verbod op doorgifte naar een derde land. Deze staan in artikel 49.

Denk bijvoorbeeld aan expliciete toestemming voor de doorgifte. U kunt enkel voor incidentele doorgifte een beroep doen op dit artikel. Per geval moet een afweging gemaakt worden.

Voor doorgifte aan de VS lijkt dit dus geen werkbare optie. Zeker niet voor de langere termijn.

Tijd voor actie!

Vrijwel ieder bedrijf wordt geraakt door de uitspraak in de zaak Schrems II. Denk aan een veelgebruikte tool als Google Analytics: volledig onder de vlag van het Privacy Shield.

Uiteraard gaan grote partijen als Google en Microsoft nu aan de slag met een (hopelijk) werkbaar alternatief. De vraag is echter of dat voldoende is voor de toezichthouder.

Ook de Europese Commissie zal zich gaan bezinnen op een alternatief voor het Privacy Shield. Tot die tijd ligt de bal bij u.

Wat u kunt doen?

1. Check uw verwerkingen

Kennis is macht. Zeker in dit geval. Zorg dat u precies weet wie de ontvangers zijn van uw data én waar die data wordt verwerkt/opgeslagen.

Privacy Shield Europa

Dit alles zou u moeten kunnen terugvinden in het verwerkingsregister. De AVG verplicht immers het vermelden van doorgifte van persoonsgegevens buiten de EU en de bijbehorende waarborgen in dit register.

Controleer ook of Europese partijen hun gegevens niet toch buiten de EU brengen. Bijvoorbeeld via cloudopslag of (sub)verwerkers. Deze informatie vindt u als het goed is in de verwerkersovereenkomst die u met de betreffende partij gesloten heeft.

Bent u niet verplicht om een verwerkingsregister bij te houden?

Dan brengt u de diverse partijen waar u persoonsgegevens mee uitwisselt in kaart. Opvallende partijen om in de gaten te houden, zijn verstrekkers van clouddiensten, webhosting, e-maildiensten, social media, CRM, cookietools en videobelapplicataties. Denk aan onder meer Google, Microsoft, Amazon, Facebook en Apple.

Tref waar mogelijk passende waarborgen voor doorgifte van persoonsgegevens aan de VS, schort de doorgifte anders op of beëindig deze. Is dit allemaal niet mogelijk, dan moet u de doorgifte melden aan de AP.

2. Verwerk gegevens zoveel mogelijk binnen de EU

Heeft u de mogelijkheid om gegevens enkel te laten verwerken en op te slaan in de EU? Kies dan voor deze optie. Veel dienstverleners van buiten de EU hebben die mogelijkheid inmiddels beschikbaar.

Privacy Shield Schrems II

Zorg ook dat uw (sub)verwerkers hun gegevens enkel binnen de EU opslaan én verwerken.

Let op!

Alleen gegevensopslag binnen de EU is onvoldoende. Vanuit Amerika mag er ook geen sprake zijn van enige verwerking van de data. Dus geen enkele mogelijkheid tot inzage, wijzigingen, administratie etc.

3. Informeer betrokkenen

Waarschijnlijk is het voor u ook nog niet helder wat de impact van de uitspraak in de zaak Schrems II op uw organisatie is. Toch is het zaak om betrokkenen te informeren. Bijvoorbeeld in uw privacy statement of in een nieuwsbericht.

Laat weten dat u bekend bent met de uitspraak en werkt aan een passende oplossing. Bij vragen kunnen betrokkenen uiteraard bij u terecht. Zodra u een passende oplossing hebt, brengt u een nieuwe versie van uw privacy statement uit.

4. Houd de toezichthouder(s) in de gaten

De European Data Protection Board en de Autoriteit Persoonsgegevens komen nog met extra informatie over maatregelen die u kunt treffen en over de wijze van handhaving.

Nu een groot deel van de organisaties in overtreding is, moeten de toezichthouders wel. We verwachten dan ook dat zij binnenkort duidelijk zullen maken op welke manier gegevensuitwisseling met de VS wél mogelijk is.

Uiteraard houden wij u op de hoogte van alle ontwikkelingen.

Blijf dus op de hoogte!

Abonneert u zich op onze maandelijkse nieuwsbrief en krijg alle ontwikkelingen rondom het Privacy Shield en ander nieuws in ICT Recht gewoon in uw mailbox.

Direct contact?

Onze ICT-juristen staan voor u klaar. Bel ons vrijblijvend via 010 2290 646 en wij helpen u graag verder.