Het zal niemand ontgaan zijn dat afgelopen zomer het Privacy Shield ongeldig is verklaard. De uitspraak in de Schrems II zaak heeft gevolgen voor vrijwel alle Europese organisaties, want welke organisatie geeft er nou geen persoonsgegevens door aan de Verenigde Staten? Denk aan de grote techbedrijven, clouddienstverleners, maar ook cookiepartijen. Stoppen met het gebruik van bepaalde diensten heb je niet zo 1-2-3 geregeld, dus er zal een oplossing moeten komen. Helaas is die er nog niet, maar de European Data Protection Board heeft inmiddels wel aanbevelingen gegeven. Welke dat zijn lees je in deze blog.
Weet waar persoonsgegevens naartoe gaan
De eerste aanbeveling is dat organisaties inzichtelijk moeten maken waar persoonsgegevens eigenlijk allemaal naartoe gaan. Aan welke partijen, en dus ook de landen, worden persoonsgegevens doorgegeven? Blijven de gegevens binnen Europa of gaan ze ook overzees? En de persoonsgegevens die worden doorgegeven, zijn die wel juist en noodzakelijk? Of lukt het misschien om minder persoonsgegevens door te geven?
Op basis waarvan worden persoonsgegevens doorgegeven aan een derde land?
Organisaties mogen persoonsgegevens doorgeven aan een derde land in één van onderstaande gevallen:
- als er een adequaatheidsbesluit is;
- als er passende waarborgen zijn getroffen:
- Model clauses/ Standard Contractual Clauses
- Binding Corporate Rules
- Gedragscode
- Certificering
- Juridisch bindend instrument tussen overheden); en
- als sprake is van een van de afwijkingen genoemd in artikel 49 AVG.
Indien een adequaatheidsbesluit ongeldig is verklaard, dan zal je moeten kijken of een van de passende waarborgen getroffen kunnen worden, of dat de persoonsgegevens alsnog doorgegeven kunnen worden op basis van een van de afwijkingen uit artikel 49 AVG.
Check de lokale wetgeving
In sommige landen is de bescherming van onze privacy en andere grondrechten onvoldoende. Als organisatie kun je daar vrijwel niets aan veranderen. Worden persoonsgegevens desondanks toch doorgegeven aan het derde land, dan zal eerst een beoordeling moeten worden gemaakt en die beoordeling moet ook gedocumenteerd worden, aangezien de organisatie nog steeds verantwoordelijk blijft voor de gegevensverwerking.
Aanvullende maatregelen
De EDPB noemt verschillende aanvullende maatregelen die organisaties kunnen overwegen. Denk hierbij aan encryptie en pseudonimisering. In bijlage 2 van de aanbevelingen van de EDPB worden nog meer technische maatregelen uiteengezet.
Neem contact op met de Autoriteit Persoonsgegevens
In sommige gevallen geldt dat er goedkeuring nodig is van de Autoriteit Persoonsgegevens (AP) voor een aanvullende maatregel. In dat geval zal er contact moeten worden opgenomen met de AP.
Evaluatie beschermingsniveau
De rode draad in de AVG is dat organisaties verantwoordelijk blijven voor de bescherming van persoonsgegevens. Controleer daarom periodiek of het beschermingsniveau in het derde land nog adequaat is, of dat er nieuwe ontwikkelingen zijn waardoor het beschermingsniveau wellicht minder wordt.
Voor nu kunnen we het niet mooier maken dan het is. Dit zijn de eerste aanbevelingen van de EDPB naar aanleiding van de Schrems II zaak. Zodra er meer bekend is, zullen we wederom een blog schrijven. We houden jullie op de hoogte!