Doorgifte persoonsgegevens naar de VS?

Onderneem actie
Zorg dat u inzichtelijk heeft of u gegevens buiten de EER en dan met name in de VS verwerkt. Is dat inderdaad het geval? Voer dan ook direct een DPIA uit, om te bepalen welke maatregelen genomen moeten worden om privacyrisico’s te mitigeren. Waarom? En hoe? Dat leest u hieronder.

Privacy in de Verenigde Staten
Het is u vast wel eens opgevallen dat privacy in de Verenigde Staten iets anders geregeld is dan in Europa. Zo is er geen nationale wetgeving die de privacy van burgers beschermt zoals wij de AVG kennen. California zet wel stappen om privacy voor burgers te versterken door het invoeren van de California Consumer Privacy Act, maar vergeleken met de AVG beschermt dit alleen burgers in de staat California en is er nog steeds geen richtlijn voor het geval persoonlijke gegevens buiten de grenzen van de staat verwerkt worden. In recente geschiedenis zien we nog opvallende voorbeelden van privacy schending in Amerika zoals het gigantische Facebook Analytica schandaal wat met een afkoopsom van 5 miljard dollar werd afgekocht door Facebook, in plaats van dat er nieuwe wetgeving werd opgesteld om dit in de toekomst te voorkomen. Of het voorbeeld van Apple die de hakken in het zand moest zetten wanneer de FBI in 2016 had verzocht een ‘backdoor’ in de mobiele telefoons te creëren zodat zij altijd toegang had tot contacten, foto’s, belgegevens en alle andere gegevens die burgers op hun telefoon verzamelen.

EU-US Privacy Shield
Als u gebruik maakt van een SaaS-oplossing, externe IT-leverancier, of andere derde partij die gegevens voor u verwerkt, is de kans groot dat de gegevens die u verwerkt de grenzen van de Europese Economische Ruimte (EER) passeren. De AVG stelt eisen aan de beveiliging van persoonlijke gegevens, zo ook wanneer gegevens verwerkt worden buiten de EER. Tot enkele weken geleden kon aan privacy normen zoals de AVG voldaan worden door bij verwerking van persoonsgegevens in de Verenigde Staten aan het EU-US Privacy Shield Framework deel te nemen. Het probleem: het Hof van Justitie van de Europe Unie heeft het EU-US Privacy Shield op 16 juli 2020 ongeldig verklaard.

Uitspraak van het Hof
Het Hof van Justitie oordeelt dat het EU-US Privacy Shield onvoldoende bescherming kan garanderen. De voornaamste reden hiervoor is dat volgens Amerikaanse wetgeving, inlichting- en veiligheidsdiensten zoals de NSA alsnog het recht hebben om gegevens van EU-burgers in te zien en te verwerken. Ook beperkt Amerika zich hierin niet tot strikt noodzakelijke gegevens. Daarnaast oordeelt het hof dat klachten van EU-burgers over de verwerking van persoonsgegevens in de VS niet genoeg bescherming geboden wordt door het ombudsman-mechanisme. Het mechanisme kan namelijk de onafhankelijkheid van de ombudsman en diens bevoegdheden niet verzekeren. Wel stelt het hof van justitie dat modelcontracten een geldige grondslag bieden voor doorgifte van gegevens buiten de EER, mits deze een gelijkwaardig beschermingsniveau kunnen waarborgen.

Tijd voor actie!
Er is sinds 23 juli een FAQ gepubliceerd over de uitspraak van het Hof door de European Data Protection Board (EDPB) waarin gesteld wordt dat er geen uitstel gegeven wordt en het dus per direct illegaal is om op basis van het EU-US Privacy Shield gegevens te verwerken. Wat is dan wel voldoende? Hierover zegt de EDPB dat dit case afhankelijke is en dat per verwerking beoordeeld dient te worden of de verwerking voldoende beschermd is om nog in de Verenigde Staten plaats te vinden. Helaas ontbreken concrete vervolgstappen in deze FAQ.

Dit betekent echter niet dat uw organisatie nu nog geen stappen kan nemen. Belangrijk is een actueel inzicht te krijgen in de verwerkingen van persoonsgegevens, wat zijn de risico’s en welke aanvullende maatregelen kunt u mogelijk nemen. Daarvoor is het verstandig als eerste de volgende twee stappen te nemen:

1. Actualiseer uw verwerkingsregister
Zorg ervoor dat uw verwerkingsregister met daarin alle verwerkingen van persoonsgegevens actueel is en blijft. Om het inrichten en onderhouden van het verwerkingsregister eenvoudiger te maken, hebben we in ons online Managementsysteem SmartManSys nu het Interactieve Verwerkingsregister toegevoegd. Hiermee kunt u per proces aangeven welke verwerkingen van persoonsgegevens er plaatsvinden en alle verplichte gegevens toevoegen via duidelijke invoervelden. Leg bijvoorbeeld vast of en zo ja welke persoonsgegeven buiten de EER worden verwerkt en door wie. Zo bent u compleet en heeft u altijd op een centrale plek een totaal overzicht van alle verwerkingen.

Wij ondersteunen organisaties bij het inrichten en actualiseren van hun verweringsregister. Heeft u al een verwerkingsregister, dan zorgen we ervoor dat uw bestaande verwerkingsregister in een dag wordt overgezet naar SmartManSys.

2. Voer een DPIA uit
Inzicht in de consequenties en risico’s van het wegvallen van de werking van het EU-US Privacy Shield kunt u het beste op een gestructureerde manier vaststellen. Het uitvoeren van een Data Protection Impact Assessment (DPIA) is daarvoor zeer geschikt. Via de vragenlijsten in SmartManSys kunt u stap voor stap de impact beoordelen en waar nodig en mogelijk de adequate aanvullende maatregelen nemen. Bijvoorbeeld nagaan of alle verwerkingen noodzakelijk zijn en of het mogelijk is bepaalde verwerkingen toch binnen de EER plaats te laten vinden.  In iedere geval heeft u na het uitvoeren van een DPIA een goed en overall beeld van de risico’s van de verwerkingen. Wel zo belangrijk als de Autoriteit Persoonsgegevens bij u aanklopt.

Samen met u kunnen we gedurende een halve dag een verkorte DPIA uitvoeren waardoor u precies weet wat de consequenties zijn voor uw organisatie van het wegvallen van het Privacy Shield.

Meer informatie
Geïnteresseerd hoe we ook uw organisatie kunnen helpen? Bel of mail ons dan voor het maken van een vrijblijvende afspraak.