Naar inhoud

De complexiteit van uitwisseling van data tussen de EU en VS

De Algemene verordening gegevensbescherming (AVG) stelt dat persoonsgegevens niet plompverloren mogen worden doorgegeven aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte (EER) – de zogeheten derde landen – zoals de Verenigde Staten van Amerika. Het EU-VS-privacyschild leek daarvoor een oplossing te bieden, maar daar heeft het Hof van Justitie van de Europese Unie (EU) op 16 juli 2020 een stokje voor gestoken. Dit is gebeurd in een zaak die was aangespannen door de Oostenrijker Maximillian Schrems, die het oneens is met de wijze waarop Facebook zijn persoonlijke gegevens opslaat op servers in de VS. Het ongeldig verklaren van dit privacy shield heeft grote gevolgen voor de uitwisseling van persoonsdata tussen de EU en de VS.


EU-VS-privacyschild ongeldig verklaard

Voor de tweede keer in vijf jaar – voorganger Safe Harbor is in 2015 ongeldig verklaard – zien multinationals zich namelijk geconfronteerd met de ongeldigheid van een mechanisme dat juist was bedoeld om een zorgeloze uitwisseling van persoonsgegevens tussen de EU en de VS te garanderen. Totdat er mogelijk een nieuw mechanisme komt dat de persoonsgegevens van EU-burgers – beter – beschermt tegen inzage door Amerikaanse overheidsinstanties, betekent de uitspraak werk aan de winkel voor organisaties die gebruikmaken van het privacy shield.

“In het arrest maakt het Hof duidelijk dat persoonsgegevens die op basis van het privacyschild worden doorgegeven aan de VS, niet de bescherming genieten die deze op grond van de AVG moeten krijgen”, duidt Yvette van Gemerden, partner bij accountants- en adviesorganisatie PwC. “Persoonsdata die naar de VS worden doorgezonden, kunnen beschikbaar komen voor Amerikaanse inlichtingendiensten ten behoeve van hun surveillanceprogramma's.”

“De EU-individuen op wie deze persoonsgegevens betrekking hebben, beschikken daarbij over onvoldoende juridische en feitelijke mogelijkheden om hun AVG-rechten in dergelijke situaties uit te oefenen. Daarnaast heeft het Hof aanvullende aandachtspunten benoemd wanneer gebruik wordt gemaakt van de zogenaamde Standard Contractual Clauses (SCC’s), het meest gebruikte alternatief voor het privacy shield. In tegenstelling tot dit privacyschild, blijft het gebruik van SCC’s wel toegestaan.”

Betekenis ongeldigverklaring voor organisaties

Door de uitspraak van het Hof is het gebruik van het privacy shield per direct niet meer toegestaan. Dit wordt ook benadrukt in de frequently asked questions (FAQ’s), zoals die door de European Data Protection Board (EDPB) zijn gepubliceerd. De EDPB is de organisatie waarin alle privacytoezichthouders van de 27 EU-lidstaten verenigd zijn. De EDPB bestudeert momenteel de uitspraak en heeft in een eerste reactie aangegeven in een later stadium duidelijkheid te verschaffen over de gevolgen.

“Het is raadzaam om de aanbevelingen en communicatie van de EDPB rondom de ongeldigverklaring van het privacyschild te blijven volgen”, stelt Bram van Tiel, eveneens partner bij PwC. “Dit betekent niet dat organisaties een afwachtende houding kunnen aannemen. In ieder geval is toetsing en beoordeling van de – internationale – gegevensstromen binnen en namens organisaties van groot belang. Een goed startpunt is het opnieuw beoordelen en actualiseren van het verwerkingenregister. Indien een organisatie op dit moment gebruikmaakt van het privacy shield of van plan was dit binnenkort te gebruiken, is echt actie vereist.”

Opties die organisaties nu hebben

“ Ongeveer 5.385 organisaties hebben zich gecertificeerd bij het Privacy Shield Framework en daarnaast zijn er organisaties die weer gegevens aan deze organisaties doorsturen vanuit de EU naar de VS. Om deze doorzending of beschikbaarstelling van persoonsgegevens te legitimeren, moet een vervangend mechanisme gevonden worden. Helaas zijn er niet veel alternatieve mechanismes beschikbaar voor deze organisaties die hun trans-Atlantische gegevensstromen willen voortzetten in overeenstemming met de AVG.”

Dit zijn enkele – niet-limitatieve – opties die organisaties nu hebben:

Binding Corporate Rules (BCR)

Verken de mogelijkheden voor het toepassen van Binding Corporate Rules (BCR’s) voor gegevensoverdrachten binnen de groep van ondernemingen waar jouw organisatie deel van uitmaakt.

“Als al in een eerder stadium voor het privacy shield is gekozen in plaats van BCR’s, is het aan te raden om opnieuw de haalbaarheid van BCR’s te onderzoeken”, vertelt Yvette van Gemerden. “Via deze weg kunnen gegevensverwerkingen binnen een groep van ondernemingen voldoen aan de AVG.”

‘Voor BCR's is de betrokkenheid en goedkeuring van de toezichthoudende autoriteit – in Nederland is dat de Autoriteit Persoonsgegevens – nodig en moet aan de specifieke vereisten van artikel 47 van de AVG worden voldaan om ervoor te zorgen dat BCR’s juridisch bindend zijn. Ik wil wel benadrukken dat deze optie niet kan worden gebruikt voor de doorgifte van gegevens aan derden buiten de EER.”

Datamigratie of cloudoplossing

Migreer naar een EU-hosting-dienstverlener of configureer een cloudoplossing waarbij de data van EU-inwoners uitsluitend op Europese servers wordt verwerkt.

“Deze optie betekent dat de verwerking van persoonsgegevens naar de EU wordt verplaatst of naar landen die door de Europese Commissie als adequaat worden beschouwd”, zegt Bram van Tiel. “Hiermee wordt het risico van inmenging vanuit rechtssystemen met een lagere mate van bescherming vrijwel volledig gereduceerd. Hoewel dit veruit de veiligste optie is vanuit het oogpunt van naleving van de AVG, is deze optie kostbaar omdat IT-diensten moeten worden gemigreerd. Daarbij komt de uitdaging dat isoleren van de gegevens in de EU ook inhoudt dat geen enkele rechtspersoon die aan andere dan EU-regelgeving onderworpen is, toegang mag hebben.”

Standard Contractual Clauses (SCC's)

Gebruik Standard Contractual Clauses (SCC's), voer aanvullende organisatorische en vooral technische maatregelen door en stap over naar nieuwe SCC’s zodra deze beschikbaar komen.

“Het meest gebruikte mechanisme om internationale gegevensoverdrachten naar landen buiten de EER te legitimeren, is van oudsher het gebruik van SCC's”, geeft Yvette van Gemerden aan. “De SCC's zijn gestandaardiseerde contractuele bepalingen die gericht zijn op de bescherming van persoonsgegevens die de EER verlaten. Zowel de verzender – of exporteur – van persoonsgegevens, als de ontvanger – of importeur – ervan buiten de EER, ondertekenen deze contractuele bepalingen en verplichten zich ertoe de gegevens te beschermen conform de AVG-vereisten.”

“Het Europese Hof van Justitie stelt in zijn arrest duidelijk dat het gebruik van SCC's als zodanig mogelijk blijft”, licht Bram van Tiel toe. “Hoewel SCC's vaak worden aangehaald als de contractuele route, benadrukt het Hof dat het niet voldoende is om deze simpelweg te ondertekenen en in een archief te leggen. Er is een beoordeling nodig van de privacyrisico's die kunnen ontstaan wanneer overheidsinstanties van het land waaraan de gegevens worden doorgegeven – denk bijvoorbeeld aan de inlichtingendiensten in de VS – toegang krijgen tot persoonsgegevens en hoe zulke risico's kunnen worden gemitigeerd.”

“Om dit probleem te ondervangen, kan mogelijk gebruik worden gemaakt van certificeringen of garanties – waarin de geschiktheid van de maatregelen die de importerende partij heeft genomen – zijn beoordeeld”, schetst Yvette van Gemerden. “Als het resultaat van deze beoordeling is dat het land van de importeur niet een aan de AVG gelijkwaardig beschermingsniveau biedt, kan het nodig zijn dat de exporteur aanvullende maatregelen moet nemen op de SCC’s. Als deze maatregelen niet haalbaar blijken in het licht van het verminderen van risico’s, mag de overdracht niet plaatsvinden.”

Het beperken van de privacyrisico’s moet per geval worden onderzocht door de organisatie die persoonsgegevens aan een organisatie in de VS doorzendt. Een dergelijk onderzoek richt zich volgens Yvette van Gemerden en Bram van Tiel ten minste op:

  • Identificatie van de risico's voor de rechten en vrijheden op het gebied van privacy van de Europese betrokkenen in het licht van de privacy wet- en regelgeving van het doelland – in dit geval de VS – en de maatregelen om deze rechten en vrijheden te beschermen.
  • Het is mogelijk dat de huidige SCC's door de Europese Commissie samen met de EDPB worden herzien of aangevuld. Het verdient aanbeveling de ontwikkelingen in dit verband te volgen.
  • Het opzetten van geavanceerde encryptietechnieken of andere technologieën om te voorkomen dat Amerikaanse inlichtingendiensten toegang kunnen krijgen. Dit betekent bijvoorbeeld dat de encryptie in de EU plaatsvindt en dat de sleutel ook in de EU blijft.
  • Daarnaast moet worden onderzocht of en in hoeverre deze waarborgen – zoals encryptietechnieken of andere technologieën – in strijd zijn met het Amerikaanse recht.
  • Beoordeling van de recent beschikbaar gekomen AVG-certificeringen om te bepalen of de – technische – eisen die in de contracten worden vastgelegd, voldoen aan de best practice requirements.

AVG-uitzonderingen (ultimum remedium)

Een andere mogelijkheid is het gebruikmaken van in de AVG genoemde specifieke uitzonderingen, die vastgelegd zijn in de EDPB-richtlijnen.

“Overdracht van persoonsgegevens buiten de EER kan onder meer plaatsvinden op grond van expliciete toestemming van het individu of omdat de verwerking noodzakelijk is voor de uitvoering van een contract”, specificeert Bram van Tiel. “De AVG ziet deze optie als last resort en het toepassen hiervan heeft dan ook niet de voorkeur van toezichthouders.”

De dataprotectie-specialisten van PwC benadrukken dat het in het kader van het AVG-verantwoordingsprincipe belangrijk is om alle stappen, beslissingen en argumenten correct te documenteren. Welke optie organisaties ook kiezen, Yvette van Gemerden en Bram van Tiel raden ten zeerste aan om de geïmplementeerde maatregelen periodiek te evalueren en te controleren op naleving.”

Creëer vertrouwen bij stakeholders

“Om de geschiktheid van de – door een derde partij – getroffen maatregelen te beoordelen en om vertrouwen te creëren, kunnen organisaties gebruikmaken van certificeringen als ISO 27701, 27001 of 27018 in het geval van leveranciers van clouddiensten”, adviseert Yvette van Gemerden. “Naast certificering kunnen organisaties ook gebruikmaken van assurance-rapporten van derden, als gegevensbescherming en adequate waarborgen onderdeel vormen van zo’n rapport.”

Tip: Wil je weten hoe je insights en data omzet naar een strategie en concrete acties? Dan is de opleiding Customer Insight & Data Driven Marketing wat voor jou!

  • Tijdens de opleiding leer je hoe je met data en inzichten zowel de waarde voor de klanten als de waarde voor de organisatie kunt verhogen.
  • Naast de opleiding stel je een managementplan op over customer insights voor je eigen organisatie, direct geschikt voor implementatie.
Lees meer over deze opleiding ►
Bron: CustomerTalk
0

Reacties

Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie