Aanbevelingen European Data Protection Board
Sinds 16 juli 2020 is een streep gehaald door het EU-VS-Privacy Shield. Volgens het Europese hof zijn de persoonsgegevens niet voldoende beschermd. Dit heeft gevolgen voor veel bedrijven omdat het niet meer is toegestaan om persoonsgegevens vast te leggen op Amerikaanse servers. Na deze uitspraak is er veel onduidelijkheid over de doorgifte van persoonsgegevens naar derde landen.
Om je te duidelijkheid te geven over doorgifte van persoonsgegevens naar derde landen, heeft Privacy Zeker de zeven belangrijkste stappen in kaart gebracht zodat je de bescherming van je data kan waarborgen.
Stap 1: Ga op zoek naar Europese alternatieven
Het algemene advies is om data altijd in de EU te houden. Je houdt als bedrijf de dataverwerking in eigen hand door simpelweg de belangrijkste systemen lokaal te hosten. De meest gebruikte SaaS- of cloudoplossingen worden juist in een Amerikaanse cloud gehost.
Stap 2: Weet wat je overdrachten zijn
Weten wat je overdrachten van persoonsgegevens zijn, is noodzakelijk om ervoor te zorgen dat deze data goed beschermd is. Ook is het belangrijk om te controleren of de gegevens die je overdraagt echt nodig zijn en in relatie staan tot de doeleinden waarvoor het wordt overgedragen en verwerkt in het derde land.
Wil je weten wat je overdrachten van persoonsgegevens zijn? Wanneer je een Privacy Zeker account hebt, kan je het vinden in het verwerkingsregister op je Privacy Zeker dashboard.
Stap 3: Controleer de overdrachtstool
Controleer de overdrachtstool waarmee je de overdracht uitvoert. Dit kan je verifiëren onder de vermeldingen onder het Hoofdstuk V AVG.
Als de Europese Commissie al heeft aangegeven bij welk land, regio of sector je de gegevens als adequaat kan overdragen via één van haar adequaatheidbesluiten op grond van artikel 45 AVG of onder de vorige richtlijn 95/46, hoef je geen andere stappen te nemen. Houdt wel in de gaten of het adequaatheidsbesluit geldig blijft.
Bij afwezigheid van een adequaatheidsbesluit, moet je vertrouwen op één van de overdrachtstools die worden vermeld in het artikel 46 AVG voor transfers die regelmatig en repetitief zijn. Slechts in enkele gevallen van incidentele en niet-repetitieve transfers je kunt mogelijk een beroep doen op één van de afwijkingen die staan vermeld in artikel 49 AVG. Dit als je voldoet aan de voorwaarden.
Wil je de overdrachten die je hebt controleren? Wanneer je een Privacy Zeker account hebt, kan je het vinden in het verwerkingsregister op je Privacy Zeker dashboard.
Wil je weten voor welke landen de Commissie een adequaatheidsbesluit heeft genomen? Bekijk Adequacy decisions- How the EU determines if a non-EU country has an adequate level of data protection.
Stap 4: Kijk naar de wet van het derde land
De vierde stap is om te beoordelen of er iets in de wet of praktijk van het derde land is waar je de gegevens aan overdraagt, wat van invloed kan zijn op de effectiviteit van de passende waarborgen van de overdrachtstools waarmee je de persoonsgegevens overdraagt.
Deze beoordeling moet primair gericht zijn op een derde landwetgeving die relevant is voor de doorgifte en het artikel 46 AVG-doorgiftetool waarop je vertrouwt. De derde landwetgeving kan het beschermingsniveau ondermijnen.
Wanneer je de elementen wilt evalueren met als doel het beoordelen van het recht van een derde land dat betrekking heeft op de toegang voor overheidsinstanties van toezicht, verwijzen wij je naar de EDPB European Essential Guarantees aanbevelingen.
Hierbij moet in het bijzonder zorgvuldig worden overwogen wanneer de wetgeving, die de toegang tot gegevens regelt door overheidsinstanties, dubbelzinnig zijn of niet publiekelijk beschikbaar zijn.
Als je toch wilt doorgaan met de overdracht, moet je naar andere relevante en objectieve factoren kijken. Je moet niet op subjectieve factoren vertrouwen, zoals de waarschijnlijkheid dat overheidsinstanties toegang krijgen tot jouw gegevens op een manier die niet in overeenstemming is met de EU normen. Je dient deze beoordeling met de nodige zorgvuldigheid uit te voeren en grondig te documenteren. Je kan achteraf worden gevraagd verantwoording af te leggen over de beslissing die je hierover eerder heeft genomen.
Het Europese hof heeft geoordeeld dat de Amerikaanse wetgeving geen beschermingsniveau biedt dat in grote lijnen overeenkomt met dat van de EU. Dit betekent dat de vraag of je al dan niet persoonsgegevens kunt doorgeven op basis van deze uitspraak, zal afhangen van het resultaat van u beoordeling. Hierbij moet je ook rekening houden met de omstandigheden van de doorgiften, en de aanvullende maatregelen die je kunt nemen.
Stap 5: identificeren en vaststellen van aanvullende maatregelen
Een vierde stap is het identificeren en vaststellen van aanvullende maatregelen die nodig zijn om het beschermingsniveau hoog te houden. Deze stap is slechts noodzakelijk als uit je beoordeling blijkt dat de wetgeving van derde landen afbreuk doet aan de doeltreffendheid van het artikel 46 AVG-overdrachtstool, die je gebruikt of van plan bent te gebruiken bij je overdracht.
De beoordeling van de effectiviteit van aanvullende maatregelen is afhankelijk van de wetgeving van het betreffende derde land. Sommige aanvullende maatregelen kunnen in het ene derde land effectief zijn, maar in het andere derde land niet.
Het gebruik van encryptie en/of pseudonimisering zijn voorbeelden van aanvullende maatregelen die getroffen kunnen worden.
Je wordt verantwoordelijk gehouden voor de beslissingen die u neemt welke aanvullende maatregelen je al dan niet treft met betrekking tot de overdrachtstool. Het gaat erom dat je een acceptabel totaal beschermingsniveau realiseert voor de gegevensoverdracht, en deze ook vastlegt. Lukt het niet passende aanvullende maatregelen te treffen, aarzel dan opnieuw niet de doorgifte niet te doen of te beëindigen.
Stap 6: Neem eventuele formele procedurele stappen
Een vijfde stap is het nemen van eventuele formele procedurele stappen die mogelijk zijn na de goedkeuring van jouw aanvullende maatregel vereisen, afhankelijk van de artikel 46 AVG-overdrachtstool waarop je vertrouwt. Mogelijk moet je de bevoegde toezichthoudende autoriteiten raadplegen.
Stap 7: Blijf periodiek het beschermingsniveau evalueren
De laatste stap is dat je periodiek het beschermingsniveau evalueert van de derde landen waar aan je die persoonsgegevens verstrekt.
https://edpb.europa.eu/sites/default/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_nl.pdf
Het is dus een lang en moeilijk proces om je data te waarborgen wanneer je het doorgeeft aan landen waar geen adequaatheidbesluit over genomen is. De makkelijkste weg is om te kiezen voor een Europees alternatief.
Is jouw bedrijf al AVG-proof? Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar. https://privacyzeker.nl/
Heb je specifieke vragen? Laat het ons weten.