Sinds de invoering van de GDPR in 2018 is er op Europees niveau nu een duidelijke standaard. Voor landen buiten de EER (Europese Economische Ruimte) moeten en moesten er dus specifieke afspraken gemaakt worden. Specifiek voor de USA was hiervoor het verdrag Privacy Shield. Deze is ongeldig verklaar door het Europese Hof.
Microsoft failliet?
We zijn voor belangrijke zaken in Nederland en in de EU afhankelijk van Amerikaanse organisaties. Denk hierbij aan partijen als Amazon, Facebook, Google en Microsoft. Maar ook Datto, ITGlue. Ook zijn veel van de klanten van Dxfferent ook klant bij Datto. Het internationale hoofdkantoor van Datto staat in Norwalk, Connecticut in de VS.
Welke impact heeft het ongeldig verklaren van het data-uitwisselingsverdrag, Privacy Shield voor ICT dienstverleners in Nederland? Zullen we nu allemaal massaal moeten stoppen met het samenwerken, of valt dit mee?
Wat zegt de GDPR
De GDPR zegt dat persoonsgegevens niet zomaar mogen worden doorgegeven mensen of bedrijven die gevestigd zijn in landen buiten de Europese Economische Ruimte. Dit mag wel als je als je ervoor zorgt dat door de GDPR vereiste beveiliging en zorgvuldigheid voor persoonsgegevens goed geregeld is. Nu het Privacy Shield niet meer geldig is kan dit nog op basis van ‘standaard bepalingen’.
Hoe regelen Microsoft, Google, Amazon en Datto dit
Grote partijen als Microsoft, Google en Amazon hebben op dit moment hoogst waarschijnlijk een paar blikken dure advocaten en juristen opgetrommeld om hier nog een keer goed naar te kijken. Facebook en de meeste andere grote partijen hadden dit al geregeld met SCC’s. Het is wel slimom een nieuwe risicobeoordeling te doen en/of contracten te (laten) her beoordelen. Je wilt tenslotte, als de auditor weer langs komt, aan kunnen tonen dat je in control bent en bij significante wijzingen moet je een nieuwe (gedeeltelijke) risicobeoordeling doen.
Check de contracten op SCC’s
Controleer of je leveranciers die niet gevestigd zijn in de EU ‘standard contract clausules’ heeft, oftewel SCC’s. Sowieso was een verwerkersovereenkomst al nodig. Geen zorgen, volgens de IAPP-EY Annual Governance Report 2019 maakt 88% van de organisatie buiten de EU al gebruikt van SCC’s.
Wat doet de Autoriteits Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) bekijkt ondertussen binnen de European Data Protection Board (EDPB) wat de praktische gevolgen zijn van de uitspraak. En wat eventuele vervolgstappen kunnen zijn. De website van de Autoriteit Persoonsgegevens heeft op 20 juli 2020 een bericht geplaatst over deze ontwikkelingen, ze zullen hoogstwaarschijnlijk ook nieuwe informatie delen.
Mijn advies aan MSP’s
Hou in de gaten wat de Autoriteits Persoonsgegevens gaat beslissen. De meeste ICT ondernemers werken met grote partijen samen die dit voor je zullen gaan regelen en/of oplossen. Wel is het ook jouw verantwoordelijkheid om dit in de gaten te houden.
Werk je met software en/of leveranciers buiten de EER en twijfel je of dit geregeld is zul je zelf aan de slag moeten gaan om passende overeenkomsten af te sluiten. Als het blijkt dat dit niet voldoende geregeld kan worden moet je (helaas) een andere partij zoeken.
Een beetje bekwame auditor die ervaren is in de ICT sector zal zeker vragen stellen, het voldoen aan wet- en regelgeving is anno 2020 een stokpaardje en de GDPR is een hele makkelijke. Registreer dit event, doe een risicoanalyse en (her)check de overeenkomsten met relevante partijen buiten de EER.
Disclaimer: We zijn geen privacy specialisten en deze informatie is puur dat en geen bindend juridisch advies.