Het EU-VS Privacy Shield is onlangs ongeldig verklaard. Deze afspraken tussen de EU en de VS over het uitwisselen en opslaan van data is dus niet langer van kracht. Hoe kun je als bedrijf dan toch voldoen aan de eisen van de GDPR?
Als IT-dienstverlener is de manier waarop je omspringt met de data van je klanten, echt van levensbelang. Bescherming van privacy en persoonsgegevens is de voorbije jaren namelijk alleen maar gevoeliger geworden. Daarom hebben intussen allerhande instanties dan ook heel wat richtlijnen uitgezet om dit te garanderen. In Europa geldt de GDPR (General Data Protection Regulation).
Veel Europese bedrijven slaan data op in de VS, dus vond de EU het wel een goed idee om hierover enkele afspraken te maken met de Amerikanen. Zo gezegd, zo gedaan: op 12 juli 2016 trad het EU-VS Privacy Shield in werking. Een overeenkomst tussen de Europese Unie en de Verenigde Staten om de bescherming van persoonsgegevens te waarborgen. Toen werd het voor Amerikaanse bedrijven makkelijker om Europese persoonsgegevens te ontvangen, terwijl de privacy van de betreffende personen beschermd bleef.
Vier jaar later zet de EU dus zelf een streep door deze overeenkomst. Maar wat is er nu precies gebeurd?
De VS en databescherming
Eerst en vooral is het belangrijk om te kaderen dat de VS een heel eigen kijk hebben op databescherming. Na de aanslagen van 11 september 2001 werd een wetsvoorstel goedgekeurd dat de Amerikaanse overheid meer mogelijkheden gaf informatie te vergaren om te gebruiken in de strijd tegen terrorisme. Een gevoelig item, maar dankzij de Amerikaanse eensgezindheid en het patriottisme, kwam de wet er toch. En wel met de passende naam: The Patriot Act.
De Patriot Act is nog steeds actief en dat zorgde al eens voor conflict met buitenlandse bedrijven en overheden, omdat het relatief makkelijk is voor de Amerikaanse overheid om persoonsgegevens in te zien.
R.I.P. Privacy Shield
Meerdere personen en bedrijven hebben de omgang van de VS met persoonsgegevens wel eens aangeklaagd, maar eentje riep het luidst: Maximilian Schrems. Schrems is een Oostenrijks advocaat en activist die na een aanklacht in 2015 bij het Europees Hof van Justitie over de behandeling van zijn gegevens door Facebook, eigenhandig de Safe Harbor (de voorloper van het EU-VS Privacy Shield) aan diggelen sloeg.
De aanklacht van Max Schrems tegen Facebook kwam er in 2013 en was gericht op de overdracht van persoonsgegevens van Facebook Ireland (waar het Europese hoofdkwartier van Facebook gevestigd is) naar de VS, nadat bekend was geraakt dat Facebook betrokken was bij het PRISM, een programma waarin het NSA (United States National Security Agency) internetcommunicatie van verscheidene Amerikaanse internetbedrijven verzamelt. Na een lange gerechtelijke procedure, trok Schrems dus aan het langste eind en moest Facebook bijgevolg hun datarichtlijnen bijsturen.
Vier jaar later was Max nog steeds niet tevreden met de gang van zaken bij Facebook en voerde hij doodleuk zijn kunstje opnieuw op. Facebook kreeg een boete van 4% van de jaaromzet en ook de werking van het overkoepelende Privacy Shield, dat EU-burgers de veiligheid van hun data zou moeten garanderen, kwam ter discussie te staan. De voornaamste oorzaak hiervan was dat het Privacy Shield te veel conflicteerde met Amerikaanse wetten zoals o.a. The Patriot Act. Uiteindelijk besloot de EU dus zelf om het EU-VS Privacy Shield te schrappen, en nu ligt dus ook de opvolger van de Safe Harbor aan gruzelementen (R.I.P. met de groeten van Max Schrems).
Aanbevelingen EDPB om te voldoen aan de eisen van de GDPR
Er moest dus iets gebeuren in de EU. Als reactie op deze schrapping van het Privacy Shield, heeft de EDPB (European Data Protection Board) dan maar zelf aanbevelingen opgesteld omtrent de doorgifte van persoonsgegevens naar landen buiten de EU. Al die jarenlange juridische veldslagen en hebben uiteindelijk geleid tot deze conclusie:
“Een organisatie mag vanaf nu enkel persoonsgegevens doorgeven aan een land buiten de EU, als ze kan waarborgen dat deze data daar net zo goed beschermd wordt als binnen de EU.“
Deze aanbevelingen hebben rechtstreekse gevolgen voor IT-dienstverleners in Europa, en dus ook in Nederland. Omdat ook veel Nederlandse bedrijven data exporteren naar landen in het buitenland, geven we enkele praktische tips om te voldoen aan deze nieuwe aanbevelingen van de EDPB.
Praktische tips om toch te voldoen aan de eisen van de GDPR
De EDPB beschrijft zes stappen om ervoor te zorgen dat de data-export van een organisatie volledig in lijn is met de huidige wetgeving.
Per stap leggen we uit welke zaken jouw organisatie kan ondernemen om compliant te zijn:
1. Weet welke data je exporteert
Breng volledig (!) in kaart welke data je exporteert en waar deze naartoe gaat. Concreet doe je dit a.d.h.v. een verwerkingsregister, neem in in ieder geval onderstaande punten op:
- Doeleinde verwerking
- Wettelijke grondslag
- Categorie betrokkenen
- Categorie gegevens
- Externe verwerkers
- Land van verwerking
Let op: Vindt de verwerking van gegevens buiten de EER (Europese Economische Ruimte) plaats, dan gelden specifieke eisen vanuit de GDPR. Daar gaan we hier dieper op in.
Tip: Als je bijvoorbeeld een ISO 27001 certificering hebt is een overzicht van uitbestede diensten en een leveranciersbeoordeling verplicht. Combineer deze slim in één overzicht. Heb je nog helemaal niets, neem dan contact met ons op, wellicht hebben we een passende template voor jou (gratis!)
2. Identificeer de ‘transfer tools’ die je gebruikt
- Achterhaal welke middelen je momenteel gebruikt om data te exporteren en op welke manier deze data beschermd wordt. Dit kan bijvoorbeeld d.m.v. modelcontracten (SCC’s), bindende bedrijfsregels (BCR’s), certificeringen, contractuele afspraken, etc. Deze mogelijkheden zijn beschreven in artikel 46 van de AVG en kan je via deze link nalezen.
- Controleer of de middelen die je gebruikt als adequaat worden beschouwd door de EU voor het land waarnaar je exporteert. De EU heeft namelijk voor verscheidene landen beslist of zij voldoende bescherming bieden m.b.t. persoonsgegevens. Deze beslissingen kan je checken via deze link. Op basis van deze besluiten en richtlijnen van de EU kan je zelf je dataexport bijstellen.
3. Beoordeel de wetgeving van het land van export
Onderzoek of de wetgeving in het land waar je de data naartoe exporteert, geen conflicten heeft met het contract dat wordt opgesteld voor de dataoverdracht. Kijk hierbij vooral naar de mate waarin de overheid of veiligheidsinstanties toegang hebben tot de gegevens die je exporteert, en bij uitbreiding persoonsgegevens in het algemeen.
Tip: Grotere organisaties hebben dit hoogstwaarschijnlijk al op orde, maar dit weet je nooit zeker! Zoek in de DPA of andere relevante documenten wat ze al hebben ingeregeld.
4. Onderzoek of bijkomende maatregelen nodig zijn
Als uit stap drie is gebleken dat de huidige contracten (SCC’s) niet effectief zijn in alle omstandigheden, m.a.w. als er conflicten zijn tussen de contracten en de wetgeving in het derde land, dienen bijkomende maatregelen genomen te worden.
Deze bijkomende maatregelen kunnen contractueel, technisch of organisatorisch van aard zijn. Zo kan je bijvoorbeeld:
- Contractueel: de modelcontracten met de verwerker bijstellen op basis van de info die je verzameld hebt in stap 3.
- Technisch: de manier waarop je data exporteert aanpassen (is er bijvoorbeeld een automatische overdracht van gevoelige gegevens, dan kan je dat kanaal uitschakelen).
- Organisatorisch: je kan bijvoorbeeld bepaalde toegangsniveau’s instellen voor de organisatie die de gegevens verwerkt.
Dit zijn slechts enkele oppervlakkige voorbeelden, maar dit kan heel specifiek en variabel zijn per organisatie of overeenkomst.
5. Creëer bijkomende maatregelen (indien nodig)
Er zijn uiteraard heel wat bijkomende maatregelen die genomen kunnen worden. Zo kan je bijvoorbeeld:
- De gegevens voorzien van een encryptie bij overdracht
- De gegevens te anonimiseren, zodat de verwerker niet kan achterhalen van welk exact persoon deze gegevens afkomstig zijn
Daarnaast stelt ook de Duitse gegevensbeschermingsautoriteit enkele concrete aanvullingen op SCC’s voor, waaruit je inspiratie kan halen. Het gaat dan om verplichtingen voor:
- De exporteur om betrokken personen te informeren dat hun data wordt geëxporteerd naar een land dat geen adequaat veiligheidsniveau voor gegevensbescherming biedt
- De importeur om de exporteur én de betrokken personen te informeren van elk verzoek tot inzage van de gegevens
- De importeur om juridische stappen te nemen tegen elk verzoek om inzage en hiermee door te gaan tot de rechtbank deze verzoeken verbiedt
- De betrokken personen voorzien van rechten op schadevergoedingen bij schending van hun privacy
6. Blijvend monitoren
Zorg ervoor dat je op een regelmatige basis de efficiëntie van de overeenkomst blijft monitoren. Zo voorkom je dat ontwikkelingen in het andere land de overeenkomst beïnvloeden.
Concreet kan je dit doen door:
- Periodiek (minstens) stap 1, 2 en 3 van dit proces te herhalen.
- Regelmatig een audit te laten uitvoeren door een externe partij van de overeenkomst (bijvoorbeeld auditbureau, advocatenkantoor, …). Zowel voor de SCC’s als het proces van de data-export.
- Nu en dan contact op te nemen met de gegevensverwerker over eventuele veranderingen aan de wetgeving in hun land.
Hoe gaat de Autoriteit Persoonsgegevens hiermee om?
De Autoriteit Persoonsgegevens stelt dat (quote) “persoonsgegevens niet zomaar mogen worden doorgegeven aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte (derde landen), zoals de VS. Dit mag alleen als in die derde landen het door de AVG gewaarborgde beveiligingsniveau voor persoonsgegevens niet wordt ondermijnd.”
Volgens de Autoriteit Persoonsgegevens bieden modelcontracten nog wel een geldige grondslag voor doorgifte van persoonsgegevens buiten de EU, maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd.
Als je als IT-dienstverlener al gebruikmaakt van dergelijke modelbepalingen voor de doorgifte van persoonsgegevens, kan je dit prima blijven doen. Belangrijk is wel dat deze voldoen aan de voorwaarden van de Autoriteit Persoonsgegevens.
Zeker zijn? ISO-certificering!
Als IT-dienstverlener is het fijn om volledige controle te hebben over de data van jouw klanten en de zekerheid te hebben dat je organisatie conform de wet- en regelgeving opereert, zeker wanneer deze wetgeving om de haverklap lijkt te veranderen. Je weet namelijk maar nooit wanneer Max Schrems weer aan de alarmbel trekt en de Europese datawetgeving weer eens overhoop gooit.
Een ISO 27001-certificering is een belangrijke norm voor informatiebeveiliging en controleert of het beheer van persoonsgegevens in de organisatie volgens de relevante wet- en regelgeving verloopt.
Meer weten over ISO 27001 certificering en hoe het je bedrijf wapent tegen boetes door gaten in je privacybeleid?
