Blijft het droog onder de paraplu van het EU-US Privacy Shield?
Doorgifte van persoonsgegevens buiten de EER is enkel toegestaan wanneer aan specifieke voorwaarden wordt voldaan. Het EU-US Privacy Shield wordt sinds 1 augustus 2016 aangewend door bedrijven in de Verenigde Staten van Amerika om hun adequaat beschermingsniveau te staven. De afgelopen maanden gingen er stemmen op die de werking van het EU-US Privacy Shield in vraag stelden, en werd het framework opnieuw onder de loep genomen naar aanleiding van de jaarlijkse evaluatie door de Europese Commissie. Welke conclusie(s) kunnen we trekken en wat moet u als bedrijfsleider of DPO in het achterhoofd houden?
Doorgifte van persoonsgegevens buiten de EER
Doorgifte van persoonsgegevens aan een derde land (zoals de Verenigde Staten van Amerika) of internationale organisatie kan plaatsvinden wanneer de Europese Commissie heeft besloten dat het derde land of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt.[1]
Het EU-US Privacy Shield speelt op dit principe in en werd door de Europese Commissie aanvaard op 12 juli 2016 als organisatie die een passend beschermingsniveau biedt.[2] Dit met als gevolg dat doorgifte van persoonsgegevens aan bedrijven aangesloten bij het EU-US Privacy Shield in beginsel zijn toegestaan onder de toepasselijke Europese regelgeving. Het EU-US Privacy Shield is operationeel sinds 1 augustus 2016.
In de praktijk zien we doorgifte van persoonsgegevens buiten de EER o.a. in de context van hosting diensten (servers gelokaliseerd buiten de EER of support diensten geleverd vanuit een derde land), uitbesteden van IT diensten aan buitenlandse organisaties, intragroep doorgifte aan moeder- of zusterbedrijven gevestigd in een derde land en in kader van internationale partnerships.
Tweede rapport voor het EU-US Privacy Shield
De Europese Commissie – die het EU-US Privacy Shield jaarlijks evalueert – bracht op 19 december 2018 een nieuw analyserapport uit omtrent het EU-US Privacy Shield.[3] Hoewel er aanvankelijk stemmen opgingen dat de adequaatheidsbeslissing t.a.v. het EU-US Privacy Shield zou worden ingetrokken, bevestigde de Europese Commissie het adequaatsheidsbesluit en het feit dat verschillende stappen in de goede richting werden genomen. Toch zet de Commissie ook meteen enkele aandachtspunten in de verf. Het meest concrete werkpunt betreft de aanstelling van een ombudsman (of -vrouw) tegen 28 februari 2019 en de implementatie van een klachtenprocedure. Bovendien geeft de Europese Commissie aan de verschillende genomen maatregelen te blijven monitoren.
Volstaat aansluiting bij het EU-US Privacy Shield voor de doorgifte van persoonsgegevens?
De Europese Commissie ondersteunt momenteel nog steeds het framework van het EU-US Privacy Shield, maar organisaties moeten zich er van bewust zijn dat het adequaatheidsbesluit geen eeuwigdurende garantie biedt. De Europese Commissie kan haar besluit steeds herzien. Organisaties bereiden zich dus best pro actief voor om compliant te blijven, ook wanneer het EU-US Privacy Shield niet meer voldoende garantie zou bieden. Dit kan bijvoorbeeld door het afsluiten van modelcontractbepalingen met de ontvangende partij in kwestie of door stopzetting van de specifieke doorgifte gebaseerd op het EU-US Privacy Shield (heroriëntering van de datastroom). Internationale multinationals kunnen ook bindende bedrijfsvoorschriften (binding corporate rules) toepassen om een voldoende adequate bescherming te garanderen.[4] Op die manier zijn organisaties niet langer afhankelijk van de classificatie van het EU-US Privacy Shield voor wat betreft internationale doorgifte van persoonsgegevens.
Systematische data mapping kan uw bedrijf inzicht geven in welke persoonsgegevens worden doorgegeven aan organisaties aangesloten bij het EU-US Privacy Shield. Op basis hiervan kan u dan ook preventief inzetten op het minimaliseren van doorgifte en het vermijden van doorgifte van bijzondere persoonsgegevens.
Achtergrond van het EU-US Privacy Shield
Het EU-US Privacy Shield kwam tot stand op 12 juli 2016 en is opvolger van het vroegere Safe-Harbor akkoord dat door het Europees Hof ongeldig werd verklaard o.a. naar aanleiding van onthullingen door Edward Snowden.[5] Het Privacy Shield heeft als uitgangspunt het beschermen van fundamentele rechten van personen die zich in de EU bevinden en wiens persoonsgegevens worden doorgegeven aan bedrijven gevestigd in de Verenigde Staten. Op vandaag zijn meer dan 4.000 bedrijven aangesloten bij het Privacy Shield, waaronder o.a. Google, Amazon (Amazon Web Services) en Microsoft (MS Azure).
Auteur: Nathan Schryvers
[1] Artikel 45 Algemene Verordening Gegevensbescherming
[2] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2016.207.01.0001.01.ENG&toc=OJ%3AL%3A2016%3A207%3AFULL
[3] https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf
[4] https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/binding-corporate-rules_en
[5] Arrest van het Europese Hof van 6 oktober 2015 (C-362/14), http://curia.europa.eu/juris/liste.jsf?language=nl&num=C-362/14; https://www.privacyshield.gov/EU-US-Framework