Een streep door het EU-VS privacy shield


Op 16 juli van dit jaar werd het EU-VS Privacy Shield ongeldig verklaard. Voor veel ondernemers, waarschijnlijk ook voor jou, kan deze uitspraak van het Hof van Justitie gevolgen hebben. Geef jij persoonsgegevens door aan derde landen op basis van het privacy shield, dan voldoe je nu niet meer aan de Algemene Verordening Gegevensbescherming; de Europese privacywet. In deze blog neem ik je mee in wat de gevolgen zijn en welke stappen je kunt nemen om toch privacy proof te kunnen ondernemen.  

Privacywet

Op grond van de Algemene Verordening Gegevensbescherming (AVG) mag je persoonsgegevens niet zomaar doorgeven aan landen buiten de Europese Economische Ruimte. Dit mag alleen als die landen kunnen garanderen dat zij de persoonsgegevens adequaat volgens de eisen uit de AVG beveiligen. Dit kun je volgens de AVG op een aantal manieren regelen. Eén van die manieren is dat persoonsgegevens worden doorgegeven op basis van een adequaatheidsbesluit. Het EU-VS privacy shield was daar een voorbeeld van.

EU-VS privacy shield

In 2016 hebben het Amerikaanse ministerie van Economische zaken en de Europese commissie een overeenkomst gesloten. In deze overeenkomst zijn afspraken gemaakt over de uitwisseling van persoonsgegevens tussen bedrijven in de Europese Unie en de Verenigde Staten. De overeenkomst is beter bekend onder de naam EU-VS privacy shield. Veel Nederlandse bedrijven, werken samen met bedrijven in Amerika op basis van dit privacy shield. Zij geven persoonsgegevens door op grond van deze overeenkomst waardoor zij voldoen aan de eisen uit de AVG.

“Onder het doorgeven van persoonsgegevens valt niet alleen het opslaan of versturen van persoonsgegevens aan iemand anders maar ook de toegang tot of het kunnen inzien van de persoonsgegevens valt hieronder”.

EU-VS Privacy Shield ongeldig verklaard

Het Hof van Justitie van de Europese Unie verklaarde het EU-VS privacy shield in juli van dit jaar echter ongeldig. Inlichtingen- en veiligheidsdiensten in de Verenigde Staten hebben namelijk op grond van Amerikaanse wetgeving het recht om gegevens van EU-burgers in te zien en te gebruiken. Dit druist in tegen de regels uit de AVG die in Europa gelden. Om die reden biedt de Verenigde Staten volgens het Europese Hof onvoldoende passende maatregelen om persoonsgegevens te beschermen en biedt het privacy shield onvoldoende protectie.  

Gevolgen

Nu het privacy shield ongeldig is verklaard, is dit geen geldige basis meer op basis waarvan je persoonsgegevens door kunt geven aan de Verenigde Staten. Veel ondernemers, zelfs als zij zich hier niet bewust van zijn, werken echter samen met Amerikaanse bedrijven. Heb jij je wel eens afgevraagd waar de server van jouw hostingprovider staat? Of van de clouddienst die jij gebruikt? Houd jij je websitestatistieken bij en maak je hierbij gebruik van bijvoorbeeld Google Analytics? Werk je veel via Social Mediakanalen? Communiceer jij via beeldbellen met je klanten? Verstuur jij nieuwsbrieven via Amerikaanse software of gebruik je cookies op je website? Allemaal voorbeelden waarbij persoonsgegevens door gegeven kunnen worden aan de Verenigde Staten.

Oplossing

Naast het EU-VS privacy shield mogen persoonsgegevens volgens de AVG ook doorgegeven worden aan landen buiten de EER als dit gebeurt op grond van een modelovereenkomst. Deze modelcontracten zijn opgesteld door de Europese Commissie. Het Hof van Justitie bepaalde dat dit nog steeds een geldige grondslag biedt voor het doorgeven van persoonsgegevens aan landen buiten de EER. Wel zullen bedrijven het beschermingsniveau ook in de praktijk moeten kunnen garanderen. Dit laatste is dus op dit moment voor de Verenigde Staten haast onmogelijk omdat Amerikaanse wetgeving bevoegdheden toekent aan o.a. de overheid en inlichtingendiensten die indruisen tegen de regels uit de Europese privacywet.

Volgens de Autoriteit Persoonsgegevens, het orgaan wat in Nederland toezicht houdt op naleving van de privacywet, gaat de European Data Protection Board bekijken wat de gevolgen zijn nu het privacy shield ongeldig verklaard is. Zij zullen op korte termijn met aanvullende maatregelen komen die jij als bedrijf kunt treffen. Ook de Europese Commissie heeft aangegeven te werken aan nieuwe modelcontracten.

En tot die tijd?

  1. Zorg voor een passende privacy- en cookieverklaring
    Op grond van de AVG heeft iedere ondernemer een informatieplicht. Je moet je klanten en websitebezoekers informeren over hoe jij met persoonsgegevens om gaat. Wanneer je een privacyverklaring maakt, wordt je gedwongen te kijken naar de persoonsgegevens die je verwerkt, de doelen waarvoor je dit doet maar zeker ook de derden met wie je de persoonsgegevens deelt. Dit zijn er veel meer dan je in eerste instantie zelf zult denken. Zo kom je er al snel achter of je persoonsgegevens deelt met landen buiten de Europese Economische Ruimte. Meer over de privacyverklaring lees je hier.
  2. Houdt een verwerkingsregister bij
    Naast de informatieplicht, heb je ook een verantwoordingsplicht. Je zult aan moeten kunnen tonen dat je voldoet aan de regels uit de privacywet. Door het bijhouden van een verwerkingsregister kun je laten zien hoe jij met persoonsgegevens omgaat en wordt je opnieuw gedwongen te kijken naar jouw werkwijze. Meer over het verwerkingsregister lees je hier.
  3. Ga na wat er afgesproken is tussen jou en je leverancier
    Heb je een verwerkersovereenkomst gesloten met je hostingpartij? Wat staat er in de privacy voorwaarden? Wat doet de ontvanger om te waarborgen dat de persoonsgegevens beschermd worden? Worden persoonsgegevens versleuteld zodat ze niet leesbaar zijn voor onbevoegden? Is de doorgifte gebaseerd op het privacy shield, vraag dan aan de ontvanger welke alternatieven worden geboden?
  4. Win preventief juridisch advies in
    Laat je privacy documenten door mij controleren of opstellen. Je weet dan zeker dat je voldoet aan de AVG. Geef je persoonsgegevens op dit moment nog door op basis van het privacy shield? Dan kunnen we je privacyverklaring aanpassen. Desnoods door aan te geven dat je op dit moment op zoek bent naar een goed alternatief voor het privacy shield. Zo weet jouw klant of websitebezoeker waar hij aan toe is en ben jij transparant over de gegevensverwerking.
    Houd ook mijn social media kanalen en deze website in de gaten.
    Ik zal je op de hoogte houden van de laatste ontwikkelingen en nieuwe oplossingen aanrijken zodra die er zijn!
Een streep door het EU-VS privacy shield

Maaike

Maaike is eigenaar en jurist bij @maaike. online legal support. Zij vindt het leuk haar kennis te delen op een manier die voor iedereen helder is. Maaike voorziet ondernemers van begrijpelijke juridische documenten & praktijkgericht juridisch advies.

EU-VS privacy shield ongeldig verklaard

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Schuiven naar boven
Share via
Copy link
Powered by Social Snap