Let op bij de internationale doorgifte van persoonsgegevens!

Een bijdrage van Rens Goudsmit, TeekensKarstens advocaten notarissen

Internationale doorgifte persoonsgegevens

Binnen iedere onderneming worden persoonsgegevens verwerkt in de zin van de Algemene Verordening Gegevensbescherming (‘AVG’). De kans is groot dat er binnen een organisatie sprake is van (internationale) gegevensuitwisseling, ook wel ‘internationale doorgifte van persoonsgegevens’ genoemd. Zo is er bijvoorbeeld sprake van een internationale doorgifte van persoonsgegevens als een onderneming deel uitmaakt van een internationaal concern en er is er een database met klantgegevens of personeelsdossiers waar alle vestigingen toegang toe hebben of de HR-afdeling van alle vestigingen is centraal geregeld in een ander land. Ook als een onderneming geen internationaal karakter heeft, kan er toch sprake zijn van een internationale doorgifte van persoonsgegevens. Dit is bijvoorbeeld het geval als werknemers in de cloud werken en de servers waar de persoonsgegevens worden opgeslagen staan in het buitenland. Ook kan gedacht worden aan een buitenlandse helpdesk die toegang heeft tot allerlei bestanden met persoonsgegevens.

Dossier: Privacy & HRTech

Alle relevante informatie rond 'Privacy & HRTech': artikelen, aanbieders, debinars en onze Privacy HRTech experts.

Bekijk het dossier

Het EU-US Privacy Shield

De AVG bepaalt dat de doorgifte van persoonsgegevens naar een derde land in beginsel slechts kan plaatsvinden indien het derde land een passend beschermingsniveau waarborgt. Derde landen zijn alle landen buiten de EU, met uitzondering van Noorwegen, Liechtenstein en IJsland. De Verenigde Staten zijn een voorbeeld van een derde land. Aangezien de privacyregelgeving in de Verenigde Staten niet dezelfde waarborgen biedt als de AVG, werden aanvullende voorwaarden voor de verwerking van persoonsgegevens vastgelegd in het tussen de EU en de Verenigde Staten overeengekomen Privacy Shield. Organisaties in de VS die zich hadden gecertificeerd middels het Privacy Shield, zouden een passend beschermingsniveau voor de verwerking van persoonsgegevens bieden waardoor partijen gerechtigd waren tot doorgifte van persoonsgegevens tussen de EU en de VS.

Op 16 juli 2020 heeft het Hof van Justitie in het arrest Schrems 2 het EU-US Privacy Shield als basis voor doorgifte van persoonsgegevens naar de VS echter ongeldig verklaard. Het Hof overweegt dat conform het Privacy Shield de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving prevaleren boven de bepalingen uit de AVG. Daardoor komt de privacy van EU-burgers mogelijk in het geding.

De gevolgen van het arrest Schrems 2 voor de HR praktijk

Concreet betekent het ongeldig verklaren van het Privacy Shield vanuit HR oogpunt dat de doorgifte van persoonsgegevens niet langer gerechtigd is op basis van het Privacy Shield. Wij adviseren organisaties dan ook om de internationale doorgifte van persoonsgegevens kritisch te evalueren en indien nodig direct actie te ondernemen om eventuele sancties te vermijden. Voorkomen is in dit geval altijd beter dan genezen. Het volgende stappenplan kan hierbij worden gebruikt:

1. Breng ontvangers van persoonsgegeven in kaart

De categorieën van ontvangers aan wie de organisatie persoonsgegevens verstrekt is terug te vinden in het verwerkingsregister. Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de AVG vaak een verplichte maatregel. Of een bedrijf een verwerkingsregister moet opstellen, hangt af van de omvang van de organisatie en het type gegevens dat zij verwerkt. In de meeste gevallen is het opstellen van een verwerkingsregister wel verplicht. Controleer wanneer dit register voor het laatst is bijgewerkt en kijk of er sinds die datum nieuwe ontvangers van persoonsgegevens bijgekomen zijn. Werk het register bij indien nodig. Breng dus goed in kaart waar en door wie de persoonsgegevens worden verwerkt.

2. Controleer bij welke verwerkingsactiviteiten er persoonsgegevens buiten de EU worden doorgegeven.

Ook deze informatie zou in het verwerkingsregister opgenomen moeten zijn. De AVG verplicht het vermelden van doorgifte van persoonsgegevens buiten de EU en de bijbehorende waarborgen in dit register. Controleer bij de Europese ontvangers of zij hun gegevens buiten de EU doorgeven, bijvoorbeeld doordat gebruik wordt gemaakt van cloudopslag op servers buiten de EU of dat er sprake is van een buitenlandse helpdesk. Indien sprake is van een verwerker (bijvoorbeeld tool-aanbieders), zou dit in de verwerkersovereenkomst opgenomen moeten zijn. Verwerkers mogen namelijk niet zonder goedkeuring van de verantwoordelijke de gegevens buiten de EU brengen.

Ook mag een verwerker niet zonder de goedkeuring van de verantwoordelijke een andere verwerker (ook wel ‘sub-verwerker’ genoemd) inschakelen.

We raden aan om in ieder geval naar de volgende tools te kijken:

• Cloudproviders (check ook waar de back-ups opgeslagen worden)
• Webhosting
• E-mail diensten
• Social media platformen
• Cookie tools
• CRM-systemen
• Videobel applicaties

In de verwerkersovereenkomst met deze organisaties moet vermeld staan of de gegevens doorgegeven worden buiten de EU.

3. Controleer het instrument voor doorgifte naar derde landen

Indien is vastgesteld dat de doorgifte van persoonsgegevens naar de VS op basis van het Privacy Shield plaatsvindt, moet er óf gestopt worden met deze doorgifte, óf een alternatieve grondslag worden aangewend voor de doorgifte. Voor zo ver de doorgifte plaatsvindt op basis van de modelcontracten (‘Standard Contractual Clauses’), zal van geval tot geval moeten worden afgewogen of dit (al dan niet voorlopig) nog aanvaardbaar is en welke alternatieven hiervoor eventueel beschikbaar zijn.

Een alternatief voor het Privacy Shield is het gebruik maken van Binding Corporate Rules of van één van de uitzonderingen in artikel 49 AVG. Bijvoorbeeld indien de doorgifte “noodzakelijk” is voor de uitvoering van een overeenkomst tussen betrokkene en verwerkingsverantwoordelijke of als de betrokkene nadrukkelijk heeft ingestemd met de voorgestelde doorgifte na te zijn ingelicht over de risico’s.

4. Kies waar mogelijk voor gegevensopslag binnen de EU

Veel dienstverleners van buiten de EU hebben de afgelopen jaren de mogelijkheid toegevoegd om te kiezen voor gegevensopslag binnen de EU. Als dat gebeurt op een manier waarbij er daadwerkelijk geen verwerking is buiten de EU, hoeven er geen extra maatregelen getroffen te worden.

5. Informeer de betrokkenen

Het is hoe dan ook belangrijk om betrokkenen tijdig en adequaat te informeren, Indien er sprake is van doorgifte van persoonsgegevens buiten de EU, dan dient de betrokkene (zoals een werknemer of klant) daarvan op de hoogte te worden gesteld. Het is gebruikelijk om dit in de privacyverklaring op te nemen. Wij raden aan om de privacyverklaring kritisch door te lopen en zo nodig aan te passen op een manier waarop duidelijk wordt dat de organisatie op de hoogte is van de Schrems 2-uitspraak.

Even sparren over bovenstaand stappenplan of de verwerking van persoonsgegevens? Neem gerust contact op.