Het privacy shield is een overeenkomst over de uitwisseling van persoonsgegevens tussen organisaties in de EU en in de Verenigde Staten. Het Europese Hof heeft dit privacy shield deze zomer ongeldig verklaard. Hierdoor vormt deze overeenkomst geen geldige grondslag meer om persoonsgegevens van Europese burgers te mogen verwerken. Wat betekent dit voor organisaties in de EU?
De overeenkomst bevat regels waar Amerikaanse bedrijven aan moeten voldoen wanneer zij gegevens van Europese burgers verwerken, bijvoorbeeld onder welke voorwaarden deze gegevens (o.a. door derde partijen) mogen worden verwerkt. Daarnaast bepaalt de overeenkomst hoe Europese burgers voor hun privacyrechten op kunnen komen als zij denken dat gegevens onrechtmatig verwerkt zijn door Amerikaanse bedrijven of de Amerikaanse overheid. Het Europese hof is echter van mening dat het privacy shield onvoldoende bescherming biedt tegen de onrechtmatige verwerkingen en klachten daarover van Europese burgers.
De (privacy)gevolgen
Het ongeldig verklaren van het privacy shield heeft wel degelijk gevolgen voor Europese bedrijven. Organisaties in de EU kunnen geen persoonsgegevens meer doorgeven aan de Verenigde Staten op grond van deze overeenkomst. Volgens de General Data Protection Regulation (GDPR) – of Algemene Verordening Gegevensbescherming (AVG) – mogen persoonsgegevens niet zomaar worden doorgegeven aan personen of organisaties die buiten de EU zijn gevestigd. De verwerking van gegevens moet dus op een andere manier worden gerechtvaardigd. Dit kan bijvoorbeeld een overeenkomst zijn die je hebt opgesteld in overleg met en in het belang van de betrokkene (degene waarvan de gegevens worden uitgewisseld). Het is belangrijk om hiervoor uitdrukkelijke toestemming van de betrokkene te hebben én dat het beschermingsniveau vergelijkbaar is met dat van de GDPR. Dit moet je als organisatie ook kunnen aantonen met effectieve en specifieke beheersmaatregelen voor elke verwerking. Zo wordt de privacy van jouw klanten ook in de praktijk gewaarborgd.
Wat betekent dit voor organisaties?
Organisaties moeten nagaan in hoeverre zij gegevens met partijen buiten de EU uitwisselen op basis van het privacy shield, maar bijvoorbeeld ook op basis van modelcontracten of andere overeenkomsten. Je kunt dit afleiden uit je eigen verwerkingsregister of door een analyse uit te voeren op alle afgesloten verwerkingsovereenkomsten. Zorg ervoor dat je hierbij extra aandacht besteed aan verwerkingen die via online of clouddiensten lopen. Voor alle verwerkingen door partijen buiten de EU moet vervolgens een risico-inschatting worden gemaakt. Zo beoordeel je of je door middel van specifieke beheersmaatregelen een beschermingsniveau kunt realiseren dat vergelijkbaar is aan de GDPR. Is dit niet mogelijk? Dan mag je geen persoonsgegevens verwerken totdat je aanvullende maatregelen hebt genomen die het vereiste beschermingsniveau alsnog kunnen garanderen. In dat geval moet de verwerking ook worden aangemeld bij de Autoriteit Persoonsgegevens.
Breng privacy in kaart
Organisaties doen er verstandig aan om de consequenties van de uitspraak van het Europese Hof voor de eigen organisatie in kaart te brengen en eventueel de noodzakelijke maatregelen te nemen. In veel gevallen moeten aanvullende afspraken worden gemaakt met de (sub)verwerker van de gegevens, bijvoorbeeld via een wijziging of aanvulling op de verwerkersovereenkomst. Daarnaast wordt op EU-niveau gekeken wat de praktische gevolgen zijn van de uitspraak en welke vervolgstappen nodig zijn. Ook wordt er gewerkt aan richtlijnen over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.
Wij helpen je graag!
Wil je meer weten over de privacy shield? Of zoek je hulp bij het in kaart brengen van jouw situatie of het inzichtelijk maken van de benodigde vervolgstappen? Neem dan contact op met onze adviseurs. Zij zetten hun expertise graag in voor jouw organisatie!