In juli van dit jaar concludeerde de hoogste Europese rechter in de zaak Schrems II dat de bescherming van persoonsgegevens in de Verenigde Staten, ondanks het Privacy Shield, ernstig tekortschiet. Met deze uitspraak verklaarde de rechter het EU-VS Privacy Shield ongeldig. Alleen wanneer organisaties kunnen garanderen dat persoonsgegevens in de VS net zo goed worden beschermd als in de EU, mogen zij nog persoonsgegevens doorgeven aan het land. Onlangs schreven we op deze site over het onderzoek dat de stichting noyb nadien heeft uitgevoerd onder 33 internationale bedrijven. De onderzoekers concludeerden stomverbaasd te zijn dat een groot deel van de bedrijven niet in staat waren om fatsoenlijk antwoord te geven op de vraag hoe ze invulling geven aan de uitspraak van de rechter. Nu heeft de European Data Protection Board (EDPB) aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Hieronder worden landen verstaan die persoonsgegevens minder goed beschermen dan in de EU. De EDPB wil het bedrijfsleven hiermee meer duidelijkheid geven na het ongeldig verklaren van het Privacy Shield.
De meest praktische methode om te kunnen garanderen dat persoonsgegevens goed beschermd worden, is het gebruik van modelcontracten (bijvoorbeeld in de vorm van standaarbepalingen). Het gebruik van deze modelcontracten is echter alleen toegestaan wanneer een bedrijf ook voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen. Om deze bescherming goed te kunnen waarborgen heeft de EDPB aanbevelingen opgesteld voor aanvullende maatregelen bij het gebruik van ‘doorgifte-instrumenten’, waaronder bijvoorbeeld modelcontracten. In het document worden verschillende maatregelen beschreven die bedrijven kunnen implementeren om de veiligheid van persoonsgegevens te verbeteren. Goede encryptie en pseudonimiseren/anonimiseren worden als waardevolle tools gezien. Bedrijven zullen wel zelf per geval moeten blijven kijken welke maatregelen of combinaties van maatregelen nodig is om persoonsgegevens goed te beschermen.
De EDPB erkent dat het niet altijd mogelijk zal zijn om voldoende aanvullende maatregelen te treffen. Dit kan onder andere voortkomen uit het gegeven dat in andere landen minder waarde wordt gehecht aan privacy en andere grondrechten. Wanneer bedrijven hun gegevens toch willen opslaan in een land waar persoonsgegevens minder goed worden beschermd, is het hun eigen verantwoordelijkheid om te waarborgen dat dit alsnog op een veilige wijze gebeurt. Wanneer vervolgens blijkt dat er nog steeds twijfel bestaat over de veiligheid van doorgifte van persoonsgegevens wordt aangeraden de doorgifte te stoppen en niet te beginnen aan nieuwe doorgifte. Bij twijfel kunnen bedrijven de gegevens het beste binnen de EU houden.
De VS werd door de rechter in de zaak omtrent het Privacy Shield benoemd als land waar persoonsgegevens niet goed beschermd zijn. Dit is mede doordat de veiligheidsdiensten in de VS alle persoonsgegevens op servers in de VS mogen inzien en gebruiken. Ook mogen deze veiligheidsdiensten de persoonsgegevens onderscheppen voordat ze überhaupt in de VS zijn aangekomen. Bedrijven die persoonsgegevens opslaan in de VS kunnen daardoor niet voorkomen dat de veiligheidsdiensten zich inzage verschaffen in de gegevens. Daarnaast is de rechtsbescherming door een onafhankelijke rechter onvoldoende geregeld in de VS ten opzichte van de EU.
De VS zal moeten zorgen voor een betere bescherming van persoonsgegevens. Op dit moment ligt de bal bij de VS en de Europese Commissie om op zoek te gaan naar eventuele vervanger voor het Privacy Shield. Bij De Functionaris zullen we deze ontwikkelingen nauwlettend blijven volgen.
De Functionaris
Ligusterbaan 16a
2908 LW Capelle aan den IJssel
KvK-nummer: 69175829
btw-nummer: NL 8577.68.190.B01
