De European Data Protection Board (EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Dat zijn landen waar persoonsgegevens minder goed beschermd zijn dan in de EU. De EDPB wil het bedrijfsleven zo meer duidelijkheid geven, nu het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde, schrijft de Nederlandse privacy-toezichthouder Autoriteit Persoonsgegevens (AP).
In juli concludeerde de hoogste Europese rechter in de zogeheten Schrems II-uitspraak dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet, ondanks het Privacy Shield. Dat waren de afspraken tussen de EU en de VS op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS. Met de uitspraak zette het Hof afgelopen juli een streep door het Privacy Shield.
Als gevolg van de uitspraak mogen organisaties in EU-landen alleen nog persoonsgegevens doorgeven aan de VS als ze kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU. Datzelfde geldt voor andere landen waarmee de EU geen (geldige) afspraken heeft over bescherming van persoonsgegevens.
Overigens liet de AP in oktober weten dat het nog niet actief ging handhaven op het dorogeven van persoonlijke gegevens naar de VS. De toezichthouder stelde bedrijven wel te vragen om na te gaan of er persoonsgegevens worden doorgegeven aan de VS, zo gaf een woordvoerder aan. "Mogelijk schaadt je de privacy van je klanten en ben je in overtreding. Bij dergelijke privacy-schendingen kan de gegevensuitwisseling stilgelegd worden. Dat risico moet je als ondernemer niet willen lopen. Sla data liever op in de EU dan in de VS.”
Aanbevelingen aanvullende maatregelen
De meest praktische oplossing voor bedrijven die persoonsgegevens willen doorgeven naar derde landen, is het gebruik van modelcontracten (ook wel standaardbepalingen, standard contractual clauses of SCC’s genoemd). Maar dat mag in de meeste gevallen alléén als een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen. Om bedrijven te helpen die bescherming te waarborgen, komt de EDPB nu met aanbevelingen voor aanvullende maatregelen bij het gebruik van ‘doorgifte-instrumenten’, waaronder modelcontracten.
De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven zullen volgens de AP per geval moeten bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.
Het zal niet altijd mogelijk zijn om aanvullende maatregelen te treffen die persoonsgegevens voldoende beschermen. Sommige landen beschermen privacy en andere grondrechten onvoldoende. Daar hebben Europese bedrijven en Europese privacy-toezichthouders weinig directe invloed op. Als bedrijven persoonsgegevens willen opslaan in landen waar deze data minder goed worden beschermd, is het hun eigen verantwoordelijkheid om te waarborgen dat dit alsnog net zo veilig gebeurt.
Houd data in de EU
Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte, benadrukt de AP. Houd data dan in de EU.
Veel bedrijven slaan data op in de VS. Nu heeft de Europese rechter dit land specifiek benoemd als land waar persoonsgegevens niet goed beschermd zijn. De veiligheidsdiensten in de VS mogen alle persoonsgegevens op servers in de VS inzien en gebruiken. Ook kunnen deze diensten persoonsgegevens al onderscheppen vóórdat ze in de VS aankomen.
Het is daarom niet altijd mogelijk om te voorkomen dat de Amerikaanse veiligheidsdiensten inzage krijgen in persoonsgegevens die naar de VS worden doorgegeven. Bovendien is de rechtsbescherming door een onafhankelijke rechter onvoldoende geregeld in de VS, concludeerde het Europese Hof van Justitie. Het is nu aan de Amerikaanse regering en de Europese Commissie om te onderzoeken of er vervanging kan komen voor het Privacy Shield.
Open voor commentaar
De aanbevelingen van de EDPB staan nog open voor commentaar van bijvoorbeeld bedrijven en hun brancheverenigingen. Deze publieke consultatie start binnenkort via de website van de EDPB. Na de consultatie stelt de EDPB de definitieve aanbevelingen vast.
