DPA Professionals blog impact privacy shield EU VS op organisaties verwerking persoonsgegevens
  1. Home
  2. Nieuws, blogs en verhalen
  3. Ongeldigverklaring Privacy Shield:...
Kennis

Ongeldigverklaring Privacy Shield: de impact op organisaties

22 oktober '20 3 min Privacy & Informatiebeveiliging

Op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield per direct ongeldig in de Schrems II zaak. Dit zorgt voor onzekerheid en discussie onder organisaties die persoonsgegevens doorgeven aan de Verenigde Staten en andere landen buiten de Europese Economische Ruimte (EER). Deze blog richt zich op de gevolgen van de uitspraak ten aanzien van Privacy Shield en Standard Contractual Clauses (SCC’s). Welke verwerkingen moeten opnieuw beoordeeld worden, kunnen SCC’s nog gebruikt worden en wat moeten organisaties nu ondernemen? Dit zijn de belangrijkste zaken waar organisaties rekening mee moeten houden.

Gevolgen Schrems II voor bedrijven

Organisaties die persoonsgegevens doorgeven buiten de EER moeten rekening houden met de uitspraak van het Hof. Doorgifte naar de VS via Privacy Shield is niet meer toegestaan. Organisaties moeten de doorgiften naar de VS en andere derde landen opnieuw beoordelen. Denk bijvoorbeeld aan het gebruik van Microsoft, Google, Mailchimp of social media bij het verlenen van diensten.

Mogelijkheden van SCC’s

Het gaat in Schrems II onder andere om het niveau van bescherming van persoonsgegevens in het derde land. Dat moet gelijkwaardig zijn aan het niveau dat wij in de EER garanderen. Ook organisaties die SCC’s gebruiken, moeten rekening houden met dit vereiste. Dit betekent een heroverweging van de afgesloten SCC’s. Maak een beoordeling van het beschermingsniveau van persoonsgegevens in het land waar de persoonsgegevens verwerkt worden en doe dit in samenspraak met de verwerker. Die heeft immers kennis van de lokale wetgeving. De bewijslast blijft echter bij de verwerkingsverantwoordelijke liggen.  

Klachtenregen voor bedrijven

Het Hof stelt expliciet dat het beschermingsniveau van persoonsgegevens in de VS niet gelijkwaardig is aan dat van de EER. Het Hof roept toezichthouders in Europa op hierop toe te zien en waar nodig in te grijpen. De Ierse toezichthouder heeft Facebook bevolen te stoppen met doorgifte van de EER naar de VS. Facebook tekende hiertegen beroep aan bij de Ierse rechter. De organisatie NOYB, mede opgericht door Max Schrems, diende ten tijde van schrijven al 101 klachten in tegen bedrijven die gebruikmaken van bijvoorbeeld Google en Facebook. Nederlandse voorbeelden zijn Marktplaats, PostNL en Takeaway. De European Data Protection Board (EDPB), het Europese orgaan waarin alle Europese toezichthouders op het gebied van gegevensbescherming zitting hebben, heeft inmiddels een taskforce opgericht voor de behandeling van deze klachten.

Niets doen is geen optie

Totdat een nieuwe afspraak tussen de EU en de VS is gemaakt, of tot het moment dat nadere richtlijnen beschikbaar zijn rond het gebruik van SCC’s, raden wij doorgifte van persoonsgegevens naar de VS af. Wees voorbereid op vragen vanuit de Autoriteit Persoonsgegevens (AP) of andere toezichthouders en zorg voor een solide juridische onderbouwing van de doorgifte. In tegenstelling tot de invoering van Safe Harbour, waar een overgangsperiode van 9 maanden was toegestaan, kunnen organisaties vandaag al een verzoek van de AP krijgen om aan te tonen wat zij hierin ondernemen. Het meest recente voorbeeld is het verzoek van de AP aan de GGD over de verzending van COVID-19 testresultaten aan een lab in Abu Dhabi. Kortom; niets doen is geen optie meer.

Praktische acties voor organisaties

Beoordeel de doorgifte naar derde landen opnieuw aan de hand van de maatstaf die het Hof hiervoor aanlegt. Voldoet de doorgifte aan deze maatstaf? Maak dan bijvoorbeeld gebruik van SCC’s. We zijn in afwachting van een (politieke) beslissing over nieuwe afspraken tussen Europa en de VS, leidraden van toezichthouders en verduidelijking van het begrip aanvullende waarborgen. Maar vanaf morgen kunnen organisaties al actie ondernemen.

  1. Zorg voor een compleet en actueel verwerkingsregister en breng alle doorgiften van persoonsgegevens buiten de EER in beeld.
  2. Controleer op basis waarvan de doorgifte buiten de EER plaatsvindt, evalueer de doorgifte en zorg voor juridische onderbouwing.
  3. Analyseer en documenteer de bescherming van persoonsgegevens in het derde land.
  4. Maak een risicoafweging en tref aanvullende maatregelen. Overweeg doorgifte naar de VS of niet adequate landen stop te zetten of op te schorten.

Download onze whitepaper en krijg meer inzicht in de 4 stappen en grip op mogelijke privacyrisico’s.

Download onze whitepaper

Privacy Shield ongeldig verklaard: Wat betekent dit voor organisaties?

Handvatten voor zicht en grip op privacyrisico’s van persoonsgegevensverwerking buiten de EU.

Ondersteuning nodig?

Neem vrijblijvend contact met ons op, we denken graag mee over de beste oplossing voor jouw organisatie.

Meer informatie
DPA-Professionals-Privacy-informatiebeveiliging-David-Lovell
David Lovell

Interim privacy counsel

Over de auteur

David Lovell is werkzaam als interim privacy counsel, privacy & data protection. Via DPA werkte hij onder andere voor Philips aan een privacy compliance traject gefocust op rechten van het individu.

Meer weten?

Neem contact op met Paul

DPA-Professionals-privacy-informatiebeveiliging-contact-directeur-Paul-Schraven

Paul

Directeur privacy & informatiebeveiliging Bel of WhatsApp: +31652302240