033 200 30 83
Principeakkoord
In maart dit jaar was er plotseling tussen de Europese Commissie en de Amerikaanse regering een ‘politiek principeakkoord’ voor een Trans-Atlantisch kader voor gegevensbescherming. De Europese toezichthouders vonden het een goede eerste stap. Maar, waarschuwden ze, er is nog geen akkoord. Momenteel beschermen Amerikaanse wetten de persoonsgegevens van Europeanen onvoldoende. Extra maatregelen blijven nodig. Er is veel werk te verzetten voordat de EU een nieuw adequaatheidsbesluit neemt. Ondanks verschillende beloftes in de aankondiging is er het afgelopen half jaar weinig tastbaar resultaat gepubliceerd.
Executive order
Toch was er nieuws. Joe Biden ondertekende begin oktober een ‘executive order’ oftewel een uitvoerend bevel. Het bevel zal een nieuw orgaan binnen het Amerikaanse ministerie van Justitie creëren dat toezicht zal houden op hoe de Amerikaanse nationale veiligheidsdiensten toegang hebben tot en gebruik maken van informatie van zowel Europese als Amerikaanse burgers. Het geeft ook nieuwe bevoegdheden voor de bescherming van burgerlijke vrijheden, om mogelijke schendingen van de privacyrechten van mensen onafhankelijk te onderzoeken. De executive order is een volgende stap in de creatie van een opvolger van het Privacy Shield voor het delen van gegevens.
Max Schrems
Er zijn nog verschillende hindernissen voordat deze opvolger wordt geïmplementeerd, waaronder een beoordeling door het EDPB en goedkeuring door de EU-lidstaten. Naar verwachting ergens maart 2023. Maar als het nieuwe kader voor gegevensoverdracht tussen de EU en de VS niet voorziet in een goede bescherming van de privacy van gebruikers, zal de nieuwe deal waarschijnlijk snel naar het Hof van Justitie in Europa worden verwezen. Max Schrems, eiser in de “Schrems I” en “Schrems II” zaak slijpt zijn messen al. Volgens Max zouden het stappen zijn naar weer een gebrekkige deal.
Het is dus nog helemaal de vraag hoe dit allemaal zal aflopen. Hopelijk geen “Schrems III”.
Maar hoe nu verder?
Tot het nieuwe adequaatheidbesluit een feit is, is het voor organisaties alleen mogelijk om persoonsgegevens vanuit de EU naar de VS te exporteren via SCC’s. Er zal ook altijd een beoordeling gemaakt moeten worden van de bescherming die het land biedt middels een DTIA. Als dit onvoldoende is, zijn aanvullende maatregelen nodig die waarborgen dat die persoonsgegevens veilig zijn.
Welke stappen zal men zeker moeten nemen:
- Inventariseer welke (persoons)gegevens buiten de EER worden verwerkt.
Gegevens in de Cloud staan heel gemakkelijk buiten de EER. Ga daarom na waar de servers staan.
- Controleer de contracten met je Verwerkers.
Persoonsgegevens kunnen ook via (sub-)Verwerkers naar de VS of andere landen buiten de EER terecht komen. Dit moet in een Verwerkersovereenkomst worden vermeld.
- Controleer onder welke modelcontracten de (persoons)gegevens worden doorgegeven. De uitgifte mag alleen plaatsvinden met Standard Contractual Clauses (SCC’s) of via Binding Corporate Rules (BCR’s).
- Zorg voor een actuele privacyverklaring.
De vermelding van een doorgifte op basis van de EU-VS Privacy Shield moet geschrapt worden. Zorg dat je transparant bent en vermeld het gebruik van SCC’s en uitvoering van een DTIA.
Advies
Heeft u behoefte aan meer informatie of ondersteuning nodig bij het uitvoeren van DTIA’s? De privacy specialisten van PrivacyTeam zijn altijd op de hoogte van de huidige regelgeving en helpen u graag.
