Deze zomer werd het Privacy Shield na een rechtszaak ongeldig verklaard. Persoonsgegevens uitwisselen met de Verenigde Staten is hierdoor veel complexer geworden. Zeker omdat ook de andere manieren om persoonsgegevens buiten de EU door te geven in twijfel zijn getrokken. De European Data Protection Board (EDPB) komt daarom met aanbevelingen in de vorm van een roadmap.
Doorgifte persoonsgegevens buiten Europa
Binnen de Europese Economische Ruimte (EER) mogen persoonsgegevens probleemloos worden doorgegeven. Iedereen dient zich binnen de EER namelijk te houden aan de regels van de GDPR, in Nederland vertaald naar de AVG.
Buiten de EER zijn er landen, waarover de Europese Commissie een adequaatheidsbesluit heeft genomen. De Europese Commissie stelt bij zo’n beslissing vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG. Doorgifte mag dan plaatsvinden zonder dat er verdere waarborgen of machtigingen voor nodig zijn.
De Verenigde Staten waren tot deze zomer zo’n land waarover een adequaatheidsbesluit was genomen, in het geval Amerikaanse organisaties waren aangesloten bij het Privacy Shield. Totdat in de rechtszaak Schrems II bleek dat Amerikaanse inlichtingen- en veiligheidsdiensten verregaande rechten hebben om gegevens van EU-burgers in te zien en te gebruiken. Dat is in strijd met de Europese privacywetgeving.
Het heeft tegelijkertijd de gegevensoverdracht naar andere landen buiten de EER op losse schroeven gezet. Hoe mogen we dan wel gegevens uitwisselen met de VS en andere landen zonder adequaatheidsbesluit?
Daarvoor heeft de EDPB nu een roadmap ontwikkeld.
Roadmap doorgifte persoonsgegevens zonder adequaatheidsbesluit
Alleen als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, mogen zij nog persoonsgegevens doorgeven aan de VS en andere landen zonder adequaatheidsbesluit.
Om u ervan te verzekeren dat de persoonsgegevens net zo goed beschermd worden, doorloopt u een stappenplan. Deze kunt u in een infographic bekijken. Hieronder lichten we de roadmap toe.
Stap 1: Doorgifte persoonsgegevens aan derde landen in kaart brengen
Landen zonder adequaatheidsbesluit noemen we ook wel derde landen. Alle persoonsgegevens die u doorgeeft naar deze derde landen moet u in kaart brengen.
Daarbij is ook van belang dat u alleen die gegevens overdraagt die absoluut noodzakelijk zijn voor de betreffende verwerking.
Stap 2: Checken welke methode van doorgifte u gebruikt
Als er geen sprake is van een adequaatheidsbesluit, dan zijn er nog een paar andere manieren om gegevens te mogen overdragen.
Dit doet u met behulp van:
Standard Contractual Clauses (SCC);
Binding Corporate Rules (BCR);
Gedragscodes goedgekeurd door de toezichthouder en certificering; of
incidentele verwerking op basis van uitzonderingssituatie.
Weet welk van deze manieren u gebruikt per doorgifte naar een derde land. Meer lezen over deze methoden van gegevensoverdracht? Lees dan onze blog over persoonsgegevens doorgeven buiten de EU.
Stap 3: voldoet de gekozen manier van doorgifte in het derde land?
Zijn er wetten of praktijken in het derde land die van invloed kunnen zijn op de effectiviteit van de passende waarborgen zoals omschreven in bijvoorbeeld de Standard Contractual Clauses.
In de Verenigde Staten hebben de veiligheidsdiensten blijkbaar verregaande rechten om persoonsgegevens in te zien. Met de Standard Contractual Clauses alleen bent u er dan niet.
Het is heel belangrijk dat u een zorgvuldig en goed onderbouwd besluit neemt. Biedt de gekozen manier van doorgifte écht voldoende bescherming of moet u meer doen?
Let op!
Leg uw onderbouwing en besluit goed vast. U bent namelijk verantwoordelijk voor de beslissing en moet deze kunnen verdedigen bij een eventuele controle van de Autoriteit Persoonsgegevens.
Stap 4: kunt u met extra maatregelen de doorgifte alsnog mogelijk maken?
Blijkt dat de SCC of een van de andere methoden van doorgifte onvoldoende waarborgen bieden bij de overdracht naar een derde land?
Dan kunt u onderzoeken of extra maatregelen het gat kunnen overbruggen. De persoonsgegevens die u doorgeeft, moeten immers net zo goed beschermd worden als in Europa.
De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering.
Bedrijven zullen per geval moeten bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.
Stap 5: Formele, procedurele stappen zetten
Deze stap neemt u alleen als u met extra maatregelen persoonsgegevens voldoende beschermd kunt doorgeven. In dat geval neemt u (eventuele) formele procedurele stappen, afhankelijk van de wijze van doorgifte.
Blijkt uit stap 4 dat u geen aanvullende maatregelen kunt treffen om de doorgifte van persoonsgegevens adequaat te beschermen?
Dan moet u de overdracht staken. Bij twijfel kunt u de data altijd het beste in Europa houden.
Stap 6: periodieke evaluatie van de bescherming van persoonsgegevens
Mocht u stappen 1 t/m 5 wel succesvol hebben doorlopen, dan bent u er nog niet. De EDPB legt ook de verantwoordelijkheid bij u neer om de mate van bescherming van persoonsgegevens periodiek te evalueren en te (her)beoordelen.
Kunt u de bescherming niet langer garanderen?
Dan moet u overwegen de doorgifte van persoonsgegevens naar derde landen (tijdelijk) staken en de data in de EER houden.
Roadmap: open voor consultatie
De aanbevelingen van de European Data Protection Board staan open voor consultatie. Onder meer bedrijven en brancheorganisaties kunnen hun commentaar binnenkort geven. Vervolgens zal de EDPB met definitieve aanbevelingen komen.
Blijf dus op de hoogte
Abonneert u zich op onze maandelijkse nieuwsbrief en krijg alle ontwikkelingen rondom het Privacy Shield en ander nieuws in ICT Recht gewoon in uw mailbox.