Het zal niemand ontgaan zijn dat afgelopen zomer het Privacy Shield ongeldig is verklaard. De uitspraak in de Schrems II zaak heeft gevolgen voor vrijwel alle Europese organisaties, want welke organisatie geeft er nou geen persoonsgegevens door aan de Verenigde Staten? Denk aan de grote techbedrijven, clouddienstverleners, maar ook cookiepartijen. Stoppen met het gebruik van bepaalde diensten heb je niet zo 1-2-3 geregeld, dus er zal een oplossing moeten komen. Helaas is die er nog niet, maar de European Data Protection Board heeft inmiddels wel aanbevelingen gegeven. Welke dat zijn lees je in deze blog.
De eerste aanbeveling is dat organisaties inzichtelijk moeten maken waar persoonsgegevens eigenlijk allemaal naartoe gaan. Aan welke partijen, en dus ook de landen, worden persoonsgegevens doorgegeven? Blijven de gegevens binnen Europa of gaan ze ook overzees? En de persoonsgegevens die worden doorgegeven, zijn die wel juist en noodzakelijk? Of lukt het misschien om minder persoonsgegevens door te geven?
Organisaties mogen persoonsgegevens doorgeven aan een derde land in één van onderstaande gevallen:
Indien een adequaatheidsbesluit ongeldig is verklaard, dan zal je moeten kijken of een van de passende waarborgen getroffen kunnen worden, of dat de persoonsgegevens alsnog doorgegeven kunnen worden op basis van een van de afwijkingen uit artikel 49 AVG.
In sommige landen is de bescherming van onze privacy en andere grondrechten onvoldoende. Als organisatie kun je daar vrijwel niets aan veranderen. Worden persoonsgegevens desondanks toch doorgegeven aan het derde land, dan zal eerst een beoordeling moeten worden gemaakt en die beoordeling moet ook gedocumenteerd worden, aangezien de organisatie nog steeds verantwoordelijk blijft voor de gegevensverwerking.
De EDPB noemt verschillende aanvullende maatregelen die organisaties kunnen overwegen. Denk hierbij aan encryptie en pseudonimisering. In bijlage 2 van de aanbevelingen van de EDPB worden nog meer technische maatregelen uiteengezet.
In sommige gevallen geldt dat er goedkeuring nodig is van de Autoriteit Persoonsgegevens (AP) voor een aanvullende maatregel. In dat geval zal er contact moeten worden opgenomen met de AP.
De rode draad in de AVG is dat organisaties verantwoordelijk blijven voor de bescherming van persoonsgegevens. Controleer daarom periodiek of het beschermingsniveau in het derde land nog adequaat is, of dat er nieuwe ontwikkelingen zijn waardoor het beschermingsniveau wellicht minder wordt.
Voor nu kunnen we het niet mooier maken dan het is. Dit zijn de eerste aanbevelingen van de EDPB naar aanleiding van de Schrems II zaak. Zodra er meer bekend is, zullen we wederom een blog schrijven. We houden jullie op de hoogte!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.