Voor 16 juli 2020 konden ondernemingen in de EU nog probleemloos en op GDPR-conforme wijze persoonsgegevens doorgeven naar dienstverleners in de VS dankzij het Privacy Shield. Echter heeft het Europese Hof van Justitie dit Privacy Shield ongeldig verklaard omdat de Amerikaanse regelgeving een onvoldoende beschermingsniveau biedt in vergelijking met de GDPR.
De hoofdreden hiervoor is dat de Amerikaanse inlichtingendiensten quasi onbeperkt persoons-gegevens monitoren of kunnen opvragen van data die zich in de VS bevinden, zodat niemand echt verbaasd is over deze uitspraak. Wat zijn nu de praktische gevolgen en welke voorzorgen kan u nemen? In dit artikel overlopen wij met u de belangrijkste aandachtspunten.
Gevolg van het ongeldig Privacy Shield?
De gevolgen van deze ongeldigverklaring zijn zeer verregaand voor iedereen die met partners uit de VS samenwerkt met oog op de verwerking van persoonsgegevens. Heel wat IT-dienstverleners (zoals aanbieders van cloudopslagruimtes) zijn nu eenmaal in de VS gevestigd zodat er vandaag heel wat transfers van data naar de VS plaatsvinden vanuit de EU. Door te ver-trouwen op Privacy Shield kon dit op GDPR-conforme wijze doorgaan. Nu valt dit systeem in duigen zodat geen enkele onderneming in de VS nog GDPR-conform is en waardoor ontelbare contractuele regelingen van het ene moment op het andere ongeldig zijn.
Gegevens buiten de EER?
Indien u persoonsgegevens overdraagt buiten de EER, is de eerste stap om enerzijds uw in de Verenigde Staten gevestigde verwerkers in kaart te brengen en anderzijds alle gegevensstromen richting de VS na te gaan.
Indien de gegevens en alle back-ups door de Amerikaanse onderneming uitsluitend binnen de EER bewaard worden volstaat het om een Verwerkersovereenkomst (DPA) te sluiten.
Indien de gegevens in data centra binnen de VS bewaard worden dienen bijkomende maatrege-len genomen te worden. Het Hof van Justitie laat het gebruik van Standard Contractual Clauses en Binding Corporate Rules onverlet om alsnog gegevensoverdrachten naar de VS met Ameri-kaanse vennootschappen contractueel te regelen. Een voorwaarde is wel dat de verwerker hierbij een gelijkwaardig beschermingsniveau kan waarborgen.
Evalueer daarom de kwaliteit van de waarborgen die de ontvanger actueel neemt en toets af of deze bereid is om aanvullende waarborgen te nemen om het gebrek aan bescherming van persoonsgegevens in de VS te ondervangen. Deze waarborgen moeten kunnen garanderen dat de Amerikaanse overheid op geen enkel moment toegang kan krijgen tot deze gegevens. Bij voorkeur worden de gegevens integraal overgeplaatst naar een datacenter binnen de EER. Indien dit niet mogelijk is, zou minimaal sterke encryptie en bij voorkeur end-to-end encryptie moeten toegepast worden.
Voorziet uw Amerikaanse partner voldoende passende maatregelen? Update dan de overeen-komsten tot gegevensoverdracht met uw Amerikaanse partner op basis van de Standard Contractual Clauses. Kan of wil uw partner in de VS geen passende maatregelen nemen, dan kiest u best eieren voor uw geld en raden wij aan de samenwerking stop te zetten en op zoek te gaan naar een partner die bij voorkeur binnen de EU actief is.
Een laatste optie die de GDPR nog aanbiedt, zijn een aantal uitzonderingsgevallen die een over-dracht van persoonsgegevens buiten de EER toch toelaten, zoals bij individuele gevallen. Zo kan u de uitdrukkelijke toestemming van een betrokkene bekomen om zijn persoonsgegevens naar de VS over te dragen, mits inlichting van de risico’s die eraan verbonden zijn. Tussen de regels leest u ongetwijfeld dat dit uitzonderingsregime niet vaak wordt gebruikt en eigenlijk geen zin-vol alternatief is wanneer gegevens van een groep personen verwerkt worden. U kan hiermee immers geen structurele doorgifte realiseren, maar moet u geval per geval een afweging maken. Voor de meeste verwerkingsactiviteiten is dat dan ook niet haalbaar.
Wat brengt de toekomst?
Inmiddels zijn de EU en de VS gesprekken aan het voeren om af te toetsen welke mogelijkheden er zijn voor een nieuwe en verbeterde Privacy Shield-regeling. Verder verwachten wij nog con-crete richtlijnen en adviezen van de Belgische Gegevensbeschermingsautoriteit over hoe men met deze nieuwe evolutie moet omgaan. Wij volgen dit nauwgezet op en houden u op de hoogte.
Meer informatie omtrent prvacy en de GDPR kan u hier vinden.