Privacy Shield ongeldig, wat nu?

Privacy Shield ongeldig, wat moet je weten en doen?
Privacy Shield ongeldig, wat moet je weten en doen?

Privacy Shield ongeldig, wat moet je weten en doen?

Het Privacy Shield is op 16 juli 2020 ongeldig verklaard. Dit heeft een onzekere situatie tot gevolg. In dit artikel gaan we kort in op het Privacy Shield en de uitspraak van het Europese Hof van Justitie. We gaan tegelijkertijd op zoek naar oplossingen. We zullen dit artikel regelmatig updaten zodat je als organisatie weet wat je moet doen.

Waarom en wat is het Privacy Shield?

Op grond van de AVG mogen persoonsgegevens niet zomaar naar landen buiten de EU worden verstuurd. Dit mag alleen als het betreffende land voldoende bescherming biedt of er beschermende maatregelen zijn genomen. De gedachte hierachter is dat persoonsgegevens buiten de EU op eenzelfde manier moeten worden beschermd.

In de praktijk worden veel ‘Europese’ persoonsgegevens in de Verenigde Staten verwerkt. Daar zijn immers veel technologiebedrijven gevestigd. Deze verwerkingen liggen al jaren gevoelig. Hierbij bestaat voornamelijk de angst dat de overheidsinstanties uit de VS, zoals de NSA, ‘meekijken’ (denk hierbij aan Edward Snowden). Een ander punt van zorg is het gebrek aan rechtsbescherming dat EU burgers wordt geboden. Om aan deze zorgen tegemoet te komen, is het Privacy Shield vastgesteld (2016). Dat is een set principes en afspraken waarmee passende bescherming werd geboden.

Onder het Privacy Shield hebben overheidsinstellingen in de VS toezeggingen gedaan over het gebruik van data. Tegelijkertijd konden organisaties zich certificeren om aan te tonen dat ze aan de Europese normen voldoen. Ruim 5000 organisaties in de VS zijn volgens het Privacy Shield gecertificeerd. Zie hier de lijst met gecertificeerde organisaties. Een nog veel groter aantal partijen in Europa maakt gebruik van de diensten van deze organisaties.

Waarom is het Privacy Shield ongeldig verklaard?

Het Privacy Shield stond al vanaf het begin ter discussie. Het Europese Hof heeft nu geoordeeld dat de regeling burgers en consumenten onvoldoende bescherming biedt. Inwoners uit de EU hebben daarnaast te weinig mogelijkheden om hun rechten af te dwingen. De belangrijkste overwegingen van de uitspraak zijn hier te vinden.

Zonder verder op de details van deze uitspraak in te gaan, mag het duidelijk zijn dat deze uitspraak grote impact heeft. De rechtvaardiging voor het versturen van persoonsgegevens naar de VS is in één klap weggevallen.

En nu?

Strikt formeel mogen persoonsgegevens nu niet onder het Privacy Shield naar de Verenigde Staten worden verstuurd. 

Bij de ongeldigverklaring van een voorgaande regeling hebben de Europese toezichthouders collectief ‘bedenktijd’ afgekondigd. De handhaving werd tijdelijk opgeschort zodat organisaties naar alternatieven konden zoeken. Het zoeken van een alternatief kost namelijk tijd. Dat is op dit moment (nog) niet gebeurd.

Het European Data Protection Board (EDPB) heeft in een persverklaring aangegeven de uitspraak verder te onderzoeken en te kijken naar mogelijke oplossingen. Onze eigen toezichthouder, de Autoriteit Persoonsgegevens, heeft nog geen standpunt ingenomen en verwijst naar het EDPB.

De EPDB lijkt de oplossing te zoeken in de zogenoemde en veel gebruikte modelcontractbepalingen (ook wel ‘standard contractual clauses’ genoemd). Dat zijn goedgekeurde model contracten waarmee organisaties in de Verenigde Staten zich conformeren aan de Europese principes. Deze modelcontracten mogen echter alleen gebruikt worden als het betreffende land een voldoende mate van bescherming biedt. Dat lijkt bij de Verenigde Staten volgens de uitspraak van het Europese Hof niet het geval. Het EPDB onderzoekt of (en hoe) deze contracten moeten worden aangepast.

Het Privacy Shield is ongeldig en de modelcontracten lijken op dit moment geen reële optie. Er zijn nog wel wat mogelijkheden, maar eigenlijk zijn deze niet praktisch werkbaar (zoals uitdrukkelijke toestemming van iedere betrokkene) of vereisen ze een lange doorlooptijd (zoals BCRs of gedragscodes). Dat leidt tot een impasse.

Wat kun je wel doen?

Op dit moment is nog veel onduidelijk. Dat blijkt wel uit het feit dat de toezichthouders nog geen antwoorden of richtlijnen bieden. Het is in ieder geval zaak om de websites van het EDPB en de Autoriteit Persoonsgegevens goed in de gaten houden.

In de tussentijd zou je het volgende kunnen doen.

Bedenk welke data in jouw organisatie het meest gevoelig is. Denk hierbij bijvoorbeeld aan medische gegevens of personeelsgegevens. Onderzoek waar jouw organisatie deze data opslaat of waar leveranciers deze opslaan. Als deze data wordt opgeslagen in de VS, kijk dan of er alternatieven zijn om de data te verplaatsen naar de EU. Op deze website staan nog wat interessante opties. Documenteer alle bevindingen en overwegingen en maak daarbij een plan van aanpak. In het ergste geval zou je de verwerking kunnen opschorten, maar het is de vraag of dat praktisch gezien kan. Kijk vervolgens naar minder gevoelige data en houd de ontwikkelingen in de gaten. De komende weken zal snel meer duidelijk worden.

Update 27 juli 2020

De EDPB heeft inmiddels een FAQ gepubliceerd. De harde lijn wordt doorgezet. Er is geen bedenktijd (grace period). Zie: https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*