Vorige maand is het Privacy Shield ongeldig verklaard. Het Hof van Justitie van de Europese Unie vindt dat privacy onvoldoende gewaarborgd wordt, de afspraken voldoen niet.

Hoe weet je nu of jij ook te maken hebt met een dergelijk Privacy Shield en moet jij actie ondernemen?

Belangrijk om te weten is of jij data (persoonsgegevens van jouw klanten) doorgeeft aan een derde partij denk bijvoorbeeld aan een CRM pakket of misschien maak je gebruik van Mailchimp. De volgende vraag is essentieel, waar wordt deze data opgeslagen? Is dit in Amerika, dan kon je voorheen middels het Privacy Shield voldoen aan de AVG. Hiervan heeft het Hof op 16 juli besloten dat privacy niet langer gewaarborgd wordt.

Waar kun je zien dat data buiten de EER wordt opgeslagen?

Dat kun je terug vinden in de verwerkersovereenkomst, hier wordt duidelijk omschreven waar data opgeslagen wordt. Als het goed is het je dit ook opgenomen in je verwerkingsregister en kun je in 1 oogopslag zien waar jij actie moet ondernemen.

Waarom is privacy onvoldoende gewaarborgd?

Amerikaanse overheidsinstanties kunnen toegang krijgen tot persoonsgegevens die vanuit Europa naar de Verenigde Staten worden doorgegeven. Hierdoor vindt het Hof dat er onvoldoende sprake is van bescherming, waar personen op basis van de AVG wel degelijk recht op hebben. De Oostenrijkse Maximillan Schrems heeft dit aangezwengeld en hierdoor staat de uitspraak ook wel bekend onder Schrems II.

Ben je dan nu in overtreding als je geen actie onderneemt?

Ja je bent in overtreding, omdat het Privacy Shield ongeldig is verklaard per 16 juli, je zal aanvullende actie moeten ondernemen. Loop je het risico op een boete? Dat zal wel loslopen, het besluit is zeer recent genomen en er is nog niet een echte passende werkwijze over hoe dit goed op te lossen is. Het advies is om uitspraken van de Autoriteit Persoonsgegevens en de EDPB (European Data Protection Board) te blijven volgen en natuurlijk onze blogs. 

Daarnaast is het van belang dat je kunt aantonen dat je op de hoogte bent van deze belangrijke ontwikkeling en stappen hebt ondernomen, leg dit dus daadwerkelijk vast.

Wat kun je alvast doen?

Kun je met een andere partij welke data in de EER opslaat wellicht ook uit de voeten? Onderzoek dit eens, welke mogelijkheden zijn er.

Ben jij van mening dat de partij welke data opslaat in de Verenigde Staten the one and only is voor jou. Zorg dat dat je heel goed in beeld hebt hoe jij privacy gaat waarborgen, zorg dat er een assessment komt en dat er een onderliggend modelcontract (SCC) aanwezig is.

Is een modelcontract dan altijd een oplossing?

Nee, zeker niet. Je moet ervan verzekerd zijn dat er geen sprake zal zijn van ongeautoriseerde inzage. Valt de ontvangende organisaties onder de Amerikaanse wetgeving FISA, dan ben je hier al niet meer van verzekerd. ICT partijen hebben zich te houden aan deze wetgeving en zullen Amerikaanse toelichtingen en inlichtingendiensten toegang moeten verlenen tot data.  In deze gevallen is een modelcontract dus geen oplossing.

Vragen? Neem contact op per e-mail via info@grip-it.nl of per telefoon via 010-3107997