EDPB geeft nadere richtlijnen over dataverkeer buiten EER

Waarom heeft het HvJ het berichtenverkeer naar de VS bemoeilijkt? Het antwoord is simpel: de VS heeft geen bescherming van persoonsgegevens op het niveau van Europa. De VS doet aan bulkcollectie van data en de inlichtingendiensten kunnen op een makkelijke manier gegevens opeisen, óók wanneer deze bijvoorbeeld door Microsoft of Google in Europese datacenters worden verwerkt.

Vanaf 16 juli 2020 werd door iedereen gekeken naar de European Data Protection Board (EDPB) omdat deze richtlijnen zou geven op welke wijze het dataverkeer tussen Europa en de VS kan plaatsvinden.

De EDPB heeft op 11 november 2020 deze concept aanbevelingen gegeven. Het zijn dus concept aanbevelingen, maar treden direct in werking, waarbij het publiek nog commentaar kan geven aan de EDPB. Hierna zullen de aanbevelingen definitief worden gemaakt.

De EDPB heeft twee sets van aanbevelingen gegeven. De eerste set gaat over de beoordeling die de gegevensexporteur moet doen om te kijken of extra maatregelen nodig zijn voor de bescherming van de persoonsgegevens. De tweede set gaat over de vraag in hoeverre het derde land (in dit geval de VS) een inbreuk maakt op de bescherming van persoonsgegevens doordat de standaard van privacybescherming niet gelijk is aan het niveau van bescherming binnen Europa op basis van de AVG.

Deze twee sets bepalen dus op welke wijze de verwerkingsverantwoordelijke een risicoassessment moet uitvoeren om na te gaan of de gegevensverwerking buiten de EU mag plaatsvinden.

Wat houden deze aanbevelingen precies in en wat moet u doen als persoonsgegevens buiten Europa verwerkt worden door bijvoorbeeld verwerkers? Wij werken een voorbeeld uit van een gegevensverwerking naar de VS.

Stappenplan om na te gaan welke verwerkingen plaatsvinden.

1.1. Breng de verwerkingen in beeld die in de VS plaatsvinden. Dit kan bijvoorbeeld met behulp van het register van verwerkingsactiviteiten of door dit na te gaan in het register van verwerkers.

1.2. Ga vervolgens na op basis van welke grond het berichtenverkeer met de VS plaatsvindt. Is dit het ongeldig verklaarde Privacy Shield, of zijn bijvoorbeeld de SSC van toepassing. Indien alleen het Privacy Shield de rechtsgrond voor de data export was, is er dus gelijk werk aan de winkel. Dan kunnen de SSC een mogelijke uitkomst zijn. In sommige gevallen is het ook denkbaar dat een betrokkene toestemming heeft gegeven, of dat de verwerking noodzakelijk is voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is.

1.3. De derde stap is na te gaan welke wetgeving in de VS van toepassing is die zorgt dat afbreuk wordt gedaan aan de mate van bescherming van de persoonsgegevens ten opzichte van de AVG. Is er bijvoorbeeld sprake van wetgeving die de overheid toegang heeft tot de gegevens? Dit alles moet goed gedocumenteerd worden. Hier wordt het gelijk ingewikkeld, want dan moet de wetgeving uit de VS beoordeeld worden. Het gaat hier om de tweede set van de EDPB: welke maatregelen zijn van toepassing en in hoeverre is de bescherming van EU-ingezeten van een gelijk niveau? We weten hier dat de argumenten van het HvJ hierbij een rol spelen. Hier heeft Max Schrems een vragenlijst voor gemaakt. Deze is raadpleegbaar via:  

 https://noyb.eu/files/CJEU/EU-US_form_v3_nc.pdf

1.4. De derde stap is om na te gaan welke beheersmaatregelen moeten worden getroffen om de risico’s te beperken. Dit kunnen technische, organisatorische of contractuele maatregelen zijn.

In een bijlage geeft de EDPB aan welke maatregelen dit mogelijk kunnen zijn:

Voor een voorbeeld hoe Microsoft heeft gereageerd op de richtlijnen van de EDPB, zie:

https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/?mkt_tok=eyJpIjoiTWpBek4yRTNPR1JtTW1ZNSIsInQiOiI4MWtsa2M4Qk5aN0hoRG4ycUFXaHVGb1Z3SkdtWnFkcVpoR1lIbThMR3hQQ0FuZFhHZDlBZ3psRHd2UFl4YWtYd04yV3ZYbmNOekczXC9KRmpGOGc4XC9DY1RIVUwxdUhEYjZvaFAxUXZoNW03c3FZckhNeTJZSGp1YmhnKzNyNHlqIn0%3D

Let op: op het moment dat je deze maatregelen niet kunt treffen, dan betekent dit dus dat de gegevensverwerking niet mag plaatsvinden.

1.5. De vijfde stap is om alle procedurele formaliteiten (SSC) toe te passen.

1.6. De laatste stap is het tijdig en periodiek evalueren van het beschermingsniveau, en zo nodig bijstellen van de maatregelen.

Resumerend is er veel te doen als het gaat om het beoordelen van de verwerkingen in relatie tot de VS. De richtlijnen van de EDPB zijn complex en vergt de nodige aandacht van privacy professionals in de ondersteuning van hun opdrachtgevers.

Ook iedere maand onze nieuwsbrief ontvangen?