Er is veel te vieren vandaag. Naast de Vlaamse feestdag kunnen we opnieuw onze persoonsgegevens GDPR-proof delen met Amerikaanse dienstverleners. De Europese Commissie heeft een adequaatheidsbesluit aangenomen voor het EU-US Data Privacy Framework waardoor transfer van gegevens naar de VS onder bepaalde voorwaarden weer eenvoudiger toegelaten wordt.
Mocht ik tot gisteren geen Amerikaanse dienstverleners gebruiken?
Bij de inwerkingtreding van de GDPR in 2018 was het uitwisselen van gegevens met de VS toegestaan onder het EU-US Privacy Shield. Op 16 juli 2020 echter werd het Privacy Shield ongeldig verklaard door het Hof van Justitie in het Schrems-II arrest. Transfers van data waren daarna enkel nog mogelijk mits het ondertekenen van Standard Contractual Clauses en het uitvoeren van een Data Transfer Impact Assessment waarbij voldoende veiligheidsmaatregelen moesten in plaats zijn om de transfer mogelijk te maken, zoals end-to-end encryptie of eigen sleutelbeheer.
Aangezien veel online diensten aangeboden worden door VS-dienstverleners maar weinig van de aangeboden diensten aan deze strenge maatregelen voldoen, werden veel van deze transfers als in strijd met de GDPR aanzien en werden er regelmatig sancties en boetes uitgesproken tegen ondernemingen die bijvoorbeeld Google Analytics op hun website plaatsten.
Kan ik vanaf vandaag opnieuw zomaar data doorsturen naar de VS?
Met het aannemen van het EU-US Data Privacy Framework heeft de EU een adequaatheidsbesluit genomen dat een transfer overeenkomstig artikel 45 GDPR toelaat. Er moet echter aan bepaalde voorwaarden voldaan zijn. Zo moet de Amerikaanse dienstverlener zich laten certificeren om aan te tonen dat hij voldoet aan bepaalde privacy- en veiligheidsvoorwaarden.
Als EU-onderneming is de taak dus eenvoudiger geworden en volstaat het om de website dataprivacyframework.gov te controleren om te zien of de dienstverlener is opgenomen als een 'betrouwbare' datapartner. Indien een onderneming geen certificering heeft bekomen dienen er nog steeds Standard Contractual Clauses te worden ondertekend en moet er een Data Transfer Impact Assessment gebeuren.
Is dit een definitieve oplossing van het data transfer probleem naar de VS?
Vermoedelijk niet. De Oostenrijkse privacy activist Shrems, die met het Schrems-I en het Schrems-II arrest de vorige twee uitwisselingssystemen met de VS heeft ongeldig laten verklaren heeft al aangegeven dat het huidige framework hoofdzakelijk een kopie is van het ongeldig verklaarde Privacy Shield en dat hij het mogelijke zal doen om ook het Data Privacy Framework onderuit te halen.
Aangezien de Amerikaanse privacy wetgeving en dan hoofdzakelijk de mogelijkheid van de Amerikaanse geheime dienst om op grootschalige wijze persoonsgegevens op te vragen, niet te vereenzelvigen is met de GDPR is de kans groot dat er een Schrems-III arrest aankomt dat ook dit adequaatheidsbesluit ongeldig zal verklaren.
Conclusie
Het gebruikmaken van Amerikaanse dienstverleners op basis van een adequaatheidsbesluit is opnieuw toegelaten. Hierbij moet wel telkens nagekeken worden of de dienstverlener effectief gecertificeerd is onder het Data Privacy Framework én uiteraard blijven de overige verplichtingen inzake de GDPR van toepassing dus zal met US-verwerkers nog steeds een verwerkersovereenkomst ondertekend moeten worden.
Daarnaast blijft het uiteraard belangrijk om bijkomend aandacht te hebben voor de genomen veiligheidsmaatregelen en om bewaring van data na te streven op datacentra binnen de EU. Of het systeem duurzaam is, is maar de vraag dus wacht toch maar even alvorens je Transfer Impact Assessment documenten definitief te archiveren.
Indien je vragen hebt omtrent het privacybeleid binnen je onderneming of beroep wenst te doen op onze diensten als DPO kan je steeds vrijblijvend een afspraak maken via onderstaande knop of door contact op te nemen met onze GDPR expert Olivier Sustronck via olivier@misterfranklin.be.