Nieuws


20 mei 2021

AVG proof zonder Privacy Shield - Hoe deel je persoonsgegevens rechtsgeldig met Amerika en andere derde landen?


Vorig jaar zette het Europese Hof een streep door het Privacy Shield verdrag. Met grote gevolgen voor organisaties die gebruik maken van een Amerikaanse (software)leverancier of data delen met een Amerikaanse onderneming. Want sindsdien is het niet meer toegestaan om persoonsgegevens uit te wisselen met Amerika op basis van het Privacy Shield.

Categorie: AVG-GDPR
Geschreven door: HRTech Redactie

Data privacyAmerika is daarmee een ‘derde land’ geworden in de zin van de AVG. Hoe kun je als HR met je huidige software toch rechtsgeldig gegevens delen met derde landen? Advocaat Rens Goudsmit van TeekensKarstens advocaten notarissen vertelt.

Goudsmit: “Het Privacy Shield was (relatief) overzichtelijk. Als een organisatie vroeg of ze persoonsgegevens met Amerika mochten delen dan kon ik in een openbaar register opzoeken of die organisatie Privacy Shield gecertificeerd was. Zo ja, dan gingen de lichten op groen en kon data in beginsel gedeeld worden. Sinds vorig jaar ligt dat dus anders. Het einde van het verdrag had direct een enorme impact op organisaties.”

Het EU-US Privacy Shield was de juridische basis waarmee persoonsgegevens tussen Amerikaanse en Europese bedrijven konden worden doorgegeven. Tot het Europees Hof van Justitie op 16 juli 2020 in de Shrems II uitspraak stelde dat dit verdrag onvoldoende bescherming kan garanderen en deze daarom ongeldig verklaarde. 

De privacywetgeving binnen de VS is fundamenteel anders vergeleken met het niveau van de bescherming van persoonsgegevens binnen de EU. Zo hebben Amerikaanse inlichtingen- en veiligheidsdiensten volgens de Amerikaanse wet altijd recht op toegang tot de gegevens van organisaties, waaronder ook gegevens van EU-burgers. Amerikaanse organisaties kunnen op die grond dus verplicht worden om data te delen met de overheid en dat sluit niet aan bij de beginselen en kernwaarden van de AVG in de EU.

Het Privacy Shield was een adequaatheidsbesluit. Wat inhoudt dat de Europese Commissie toestemming geeft om persoonsgegevens met dat derde land (land buiten de EU) uit te wisselen als een passend niveau van gegevensbescherming gewaarborgd is (bijvoorbeeld d.m.v. nationale wetgeving of op basis van internationale verplichtingen).

Geen adequaatheidsbesluit?

Is er geen adequaatheidsbesluit is met het derde land, zoals nu in het geval van Amerika, dan kun je rechtsgeldig data delen met bindende bedrijfsvoorschriften of standaard contractsbepalingen. Goudsmit geeft toe dat dit nogal lijvige contracten zijn. Uiteindelijk kun je ook expliciete toestemming aan de betrokkene vragen.

Bekijk hier de opname van de presentatie van Goudsmit tijdens het seminar.

Veilig delen van data

Met het ongeldig verklaren van het Privacy Shield mogen persoonsgegevens vanuit Europa dus alleen nog aan Amerikaanse partijen worden doorgegeven als er op een andere manier een passend niveau van rechtsbescherming kan worden gewaarborgd. Goudsmit hanteert regelmatig het volgende stappenplan bij internationale doorgifte van persoonsgegevens.

  1. Weet als verwerkingsverantwoordelijke exact waar persoonsgegevens naartoe gaan
  2. Op basis waarvan worden persoonsgegevens doorgegeven aan een derde land?
  3. Check de lokale wetgeving
  4. Kunnen aanvullende maatregelen uitkomst bieden? Zoals encryptie of pseudonimisering.
  5. Als het bovenstaande niet het geval is neem dan toepasselijke procedurele stappen (bv. door contact op te nemen met de Autoriteit Persoonsgegevens) Goudsmit: “Mijn ervaring is dat ze graag dienen als vraagbaak voor organisaties. Schroom niet contact op te nemen, vooral als je niet zeker weet of het goed geregeld is.”
  6. Blijf regelmatig checken: is de bescherming van onze gegevens nog steeds voldoende gewaarborgd?

Een voorbeeld: HR maakt gebruik van een Amerikaanse HR-tool. Daarmee worden persoonsgegevens op een Amerikaanse server opgeslagen. Goudsmit: “Bekijk in eerste instantie of de leverancier ook de mogelijkheid biedt om de gegevens in de EU op te slaan. Vraag hier ook expliciet naar. Is dit niet het geval, bekijk dan of je deze gegevens kunt encrypten of pseudonimiseren. Je zou bijvoorbeeld de beoordelingsgespreken zo kunnen opslaan dat je niet weet over wie de beoordeling gaat. De sleutel voor het decoderen moet dan op een Europese server staan.”

Verantwoordingsplicht

“De uiteindelijke verantwoordelijkheid om aan de privacyregels te voldoen ligt altijd bij de organisatie die de persoonsgegevens verwerkt.” Goudsmit raadt organisaties daarom aan duidelijk de afwegingen op papier te zetten die een rol hebben gespeeld bij het besluit voor het wel of niet doorsturen van persoonsgegevens, bijvoorbeeld naar de VS.

Goudsmit over HR-gegevens: “Dit zijn vaak privacygevoelige gegevens waarvan het niveau van bescherming bovengemiddeld moet zijn. Laat in dit geval een specialist beoordelen of de gegevens ook daadwerkelijk voldoende beveiligd zijn.”

Veilig werken in de cloud

De Shrems II uitspraak had ook direct invloed op organisaties die gebruik maken van een Amerikaanse clouddienst. Want ook het plaatsen van persoonsgegevens op een server in een datacentrum buiten de EU geldt als doorgifte van data.

In 2018 werkte 24% van de ondernemingen binnen de EU werkte in de cloud. In 2020 is dat al 36%. Goudsmit: “Alle data die door Europese organisaties in de cloud wordt verwerkt is in 75% van de gevallen in Amerikaanse of Chinese handen.”

Goudsmit ziet dat Amerikaanse softwareleveranciers zich steeds vaker conformeren aan de Europese vereisten ten aanzien van gegevensbescherming. “Amerikaanse organisaties zetten, om hun diensten aan te kunnen blijven bieden, steeds vaker datacenters in de EU op. Zo kunnen Microsoftgebruikers vanaf volgend jaar ervoor kunnen kiezen om data op te slaan in de Europese Unie.”

Brexit

Is het uitwisselen van persoonsgegevens nog mogelijk sinds het UK geen onderdeel meer is van de EU en zich dus niet aan de AVG hoeft te houden? 

Goudsmit: “Vóór de Brexit moest het UK al voldoen aan de AVG-voorschriften, de veiligheidseisen waren dus al op peil. Het delen van persoonsgegevens met de UK is dus voorlopig toegestaan en zal op korte termijn worden geformaliseerd.” Hij verwacht dat er binnenkort een adequaatheidsbesluit voor de UK volgt. Tot die tijd is de overgangsperiode verlengd. 

Over TKTech

TKTech is in 2019 als aparte Tech hub opgericht om zich volledig te kunnen richten om de juridische vraagstukken in de technologiesector op een praktische manier om te buigen naar juridische oplossingen.

Goudsmit: “Wij helpen organisaties om binnen het bestaande juridische speelveld innovatieve technologieën toe te kunnen passen. Dat doen we vanuit de rechtsgebieden Privacy (AVG), intellectueel eigendom, IT, E-Health, vennootschapsrecht, blockchain en kunstmatige intelligentie. Wij vinden het altijd leuk om mee te denken dus trek gerust aan de bel”.

Dossier: Privacy & HRTech
Alle relevante informatie rond 'Privacy & HRTech': artikelen, aanbieders, debinars en onze Privacy HRTech experts.

Deel dit artikel
Dit artikel is 216 keer gelezen.

Reacties

 Laat een een reactie op dit artikel achter