Amsterdam Sinds 16 juli 2020 is een streep gehaald door het EU-VS-Privacy Shield. Volgens het Europese hof zijn de persoonsgegevens niet voldoende beschermd. Dit heeft gevolgen voor veel bedrijven omdat het niet meer is toegestaan om persoonsgegevens vast te leggen op Amerikaanse servers als bijvoorbeeld Salesforce. Maar wat is er nou eigenlijk precies aan de hand en wat zijn de gevolgen?
Wat is het EU-VS-Privacy Shield?
Het EU-VS Privacy Shield is een overeenkomst tussen de EU en de VS over de bescherming van persoonsgegevens van burgers van de Europese Unie die in de Verenigde staten worden verwerkt. Het Privacy Shield is ontstaan om de uitwisseling van persoonlijke data tussen de Europese Unie en de Verenigde Staten mogelijk te maken. De overeenkomst zorgde ervoor dat Amerikaanse bedrijven alsnog Europese data mochten opslaan, zonder de GDPR (General Data Protection Regulation) te overtreden, in het Nederlands de AVG.
Waarom is het EU-VS-Privacy Shield ongeldig verklaard?
Volgens het Europese hof zijn de persoonsgegevens van de Europese burgers niet voldoende beschermd. Het Privacy Shield bood niet de bescherming die de algemene verordening gegevensbescherming vereist. In de praktijk kunnen veel meer persoonsgegevens worden ingezien door Amerikaanse inlichting- en veiligheidsdiensten dan volgens Europese normen voor privacywetgeving is toegestaan. Deze extra inzage is op de grond van Amerikaanse wetgeving mogelijk. De Amerikaanse wetgeving staat de eigen overheidsdiensten namelijk toe om zich te mengen in data binnen de private sector, iets wat in Europa niet is toegestaan.
Wat betekent de ongeldigheid van het EU-VS-Privacy Shield?
De ongeldigheid van het Privacy Shield betekent dat het niet meer toegestaan is om persoonlijke data verwerkt door in de EU gevestigde bedrijven en/of organisaties op servers in de VS vast te leggen. Bedrijven in de Europese Unie die Amerikaanse servers of bijvoorbeeld clouddiensten gebruiken kunnen niet meer terugvallen op het Privacy Shield.
Wat zijn de actuele ontwikkelingen?
De Verenigde Staten blijven zich inzetten om samen te werken met de EU en daarmee de continuïteit in de transatlantische gegevensstromen en privacybescherming te waarborgen. Het Amerikaanse ministerie van Handel hoopt de negatieve gevolgen van het besluit te kunnen beperken tot de transatlantische gevensstromen die erg essentieel zijn voor onder andere de bedrijven. Daarom zal het Amerikaanse ministerie van Handel in nauw contact blijven met de Europese Commissie van het Europees Comité.
Wat voor gevolgen heeft dit voor jou bedrijf?
Dit betekent dus dat het niet toegestaan is als bedrijf klant- en/of persoonsgegevens vast te leggen in Amerikaanse programma’s als SalesForce. Dit omdat de data hiervan wordt vastgelegd op servers op Amerikaans grondgebied.
Daarnaast is er inmiddels nog een éxtra probleem ontstaan: de alternatieve manier om dit goed te regelen met een zogenoemde standaard overeenkomst (ook wel SCC’s genoemd) is ook geen alternatief meer door een recente uitspraak van het Europese hof.
Conclusie is dat je bij aanschaf en gebruik van (marketing)software er zeker van dient te zijn dat de data/persoonsgegevens uitsluitend binnen de EU worden opgeslagen.
De EDPB (European Data Protection Board) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar landen buiten de EU. De EDPB wil met deze aanbevelingen meer duidelijkheid geven nadat het Europese Hof het EU-VS Privacy Shield ongeldig verklaarde.
De EDPB noemt ook verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Op de persoonsgegevens goed te kunnen beschermen zullen bedrijven per geval moeten bekijken welke maatregel of combinatie van maatregelen er nodig is.
Naar de aanbevelingen:
Recommendations 02/2020 on the European Essential Guarantees for surveillance measures
Bronnen:
https://www.vno-ncw.nl/forum/sinds-het-privacy-shield-ongeldig-werd-heeft-elk-bedrijf-een-probleem
https://www.privacyshield.gov/article?id=EU-U-S-Privacy-Shield-Program-Update