Politici wijzen naar clipboard met AVG-voorblad

EDPB: ‘Bedrijven moeten hun data-uitwisselingsbeleid direct aanpassen’

Laatst bijgewerkt: 26 juli 2020
Leestijd: 3 minuten, 10 seconden

De European Data Protection Board (EDPB), de organisatie die zich bezighoudt met de bescherming van persoonsgegevens van Europese burgers, vindt dat Europese bedrijven hun data-uitwisselingsbeleid tegen het licht moeten houden. Het Europese Hof verklaarde eerder deze maand dat het Privacy Shield tussen de EU en de VS niet langer geldig is. Om overdracht van persoonsgegevens met de VS mogelijk te maken, moeten ze nieuwe afspraken maken.

Dat schrijft de Europese belangenorganisatie in een FAQ-document. Daarin spreekt het zich uit over deze kwestie.

Einde oefening voor het Privacy Shield

Deze maand zette het Europese Hof van Justitie een streep door het Privacy Shield. Het Privacy Shield was de opvolger van het Safe Harbor akkoord. Daarin waren afspraken opgenomen over de verwerking en uitwisseling van persoonsgegevens tussen Europa en de Verenigde Staten. In 2015 werd deze regeling stopgezet, omdat hij te weinig garanties bood om de privacy van Europeanen te waarborgen. Daarop werd het Privacy Shield in het leven geroepen.

Volgens de Oostenrijkse privacyactivist Max Schrems bood het Privacy Shield nog steeds te weinig privacybescherming voor inwoners van de EU van grote techgiganten als Google en Facebook. Daarop stapte hij naar het Europese Hof van Justitie, nadat hij eerder een rechtszaak hierover had verloren in Ierland. Ditmaal werd hij wel in het gelijk gesteld, wat einde oefening betekende voor het Privacy Shield.

Het Europese Hof van Justitie oordeelde dat de VS niet hetzelfde beschermingsniveau biedt als wij hier in de EU hanteren. De maatregelen die de VS neemt om persoonsgegevens te beschermen, komen onvoldoende overeen met het evenredigheidsbeginsel dat de Europese privacywet nastreeft. Het Hof zette daarom een streep door het Privacy Shield. “Het vonnis maakt duidelijk dat de VS hun spionagewetten serieus moeten aanpassen als ze een belangrijke rol willen blijven spelen in de EU”, aldus Schrems over het vonnis.

Op deze manier kunnen bedrijven persoonsgegevens toch uitwisselen

De EDPB adviseert bedrijven om direct werk te maken met het evalueren van de manier waarop momenteel persoonsgegevens worden uitgewisseld. Het Privacy Shield is immers per direct ongeldig verklaard en er is ook geen overbruggingsperiode in het leven geroepen. Data doorsturen op basis van het Privacy Shield akkoord, is per onmiddellijke ingang verboden.

Betekent dit dat er vanaf nu geen persoonsgegevens meer uitgewisseld mogen worden tussen de EU en de VS? Zeker niet. Na het beëindigen van het Safe Harbor akkoord en het Privacy Shield vond er immers ook data-uitwisseling plaats. Daarvoor hanteerden Europese en Amerikaanse bedrijven zogeheten Standard Contractual Clauses (SCC’s), oftewel modelcontracten. Daarin beloven partijen elkaar dat gegevens in het land van aankomst net zo goed beschermd worden als in het land van herkomst.

Het Europese Hof van Justitie zei in haar vonnis dat deze modelcontracten nog altijd geldig zijn. Dat geldt ook voor Binding Corporate Rules (BCR), datatbeschermingsbeleid dat door internationale bedrijven wordt overgenomen om gegevens buiten de EU met elkaar uit te wisselen. De EDPB onderschrijft dit. In haar FAQ-document zegt de belangenorganisatie dat beide methoden -SCC en BCR- in beginsel goed zijn om gegevens op een veilige en verantwoorde manier uit te wisselen tussen internationale bedrijven. Welke methode bedrijven moeten hanteren is afhankelijk van de afweging die ze maken en welke maatregelen ze implementeren om privacybescherming te garanderen.

Opnieuw onderhandelen om gegevensuitwisseling toch mogelijk te maken

Door contact op te nemen met de partij waar ze gegevens mee willen uitwisselen, kunnen bedrijven nagaan welke privacyregels er in dat land van kracht zijn. Als deze niet overeenkomen met de regels die in de Algemene Verordening Gegevensbescherming (AVG) zijn vastgelegd, dan moet iedere vorm van gegevensuitwisseling tijdelijk worden opgeschort. Welke aanvullende maatregelen bedrijven eventueel kunnen nemen om data-uitwisseling weer mogelijk te maken, wordt momenteel in kaart gebracht door de EDPB. Eén van de mogelijkheden om dit te realiseren, is door te onderhandelen over aanvullende clausules dat data elders wordt opgeslagen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen