Strenge privacyregels EU problematisch voor Nederlandse bedrijven

EU-vlaggen voor het gebouw van de Europese Commissie

Nederlandse bedrijven die samenwerken met organisaties buiten de EU, hebben last van de strenge privacyregels die Europa gelden. Europese privacywetgeving eist namelijk dat buitenlandse partijen hetzelfde beschermingsniveau bieden als binnen de EU. Niet alleen grote ondernemingen als Google en Microsoft, maar ook kleinere bedrijven hebben daar last van.

Dat zegt Saskia Vermeer-De Jongh van advocatenkantoor HVG-law tegen BNR. Ze is gespecialiseerd in Digital, Cyber en Privacy.

Veel onduidelijkheid door Schrems-II uitspraak

Volgens de advocate begon de ellende vorig jaar zomer, toen het Hof van Justitie van de Europese Unie met de Schrems-II uitspraak een streep zette door het Privacy Shield. Daarin bepaalde het Hof dat de doorgifte van persoonsgegevens vanuit de EU naar de Verenigde Staten niet voldeed aan de regels van de Europese privacywet. De Amerikanen boden namelijk niet hetzelfde beschermingsniveau als wij hier in Europa.

De Algemene Verordening Gegevensbescherming (AVG) eist dat niet-Europese bedrijven gelijkwaardige opslag- en beveiligingsmaatregelen treffen als in de EU. Dit wordt ook wel het evenredigheidsbeginsel genoemd. Het Hof meende dat het Privacy Shield dat niet garandeerde en werd daarom per direct ongeldig verklaard.

Tevens had het Hof kritiek op andere transfermechanismen, zoals Standard Contractual Clauses (SCC) of Binding Corporate Rules (BCR). Hiermee heeft de uitspraak niet alleen betrekking op de VS, maar alle landen ter wereld waar Europese bedrijven persoonsgegevens mee uitwisselen. De uitspraak heeft volgens Vermeer-De Jonghe veel vragen opgeroepen.

Toezichthouders kunnen torenhoge boetes opleggen

In het bijzonder gaat het om persoonsgegevens die worden verwerkt en opgeslagen door buitenlandse bedrijven, met name in de cloud. “Bedrijven die persoonsgegevens doorgeven, dus privacygevoelige gegevens, via een cloud of andere manier, mogen dat niet zomaar doen. Dat kan al een probleem zijn wanneer de gegevens van je personeel in een cloud van Microsoft staan, waarvan we niet zeker weten dat die gegevens niet ook in de VS kunnen worden bekeken. Want daar geldt een andere privacywet dan in de EU”, zo vertelt de privacy-advocate.

Ze wijst erop dat het niet naleven van Europese privacyregels vergaande gevolgen kan hebben. Toezichthouders mogen boetes opleggen die kunnen oplopen tot 20 miljoen euro, of 4 procent van de wereldwijde omzet, afhankelijk van welk bedrag hoger is.

Groot en klein heeft last van strenge Europese privacywet

Bij grote multinationals als Microsoft, Google, Amazon en Adyen speelt dit parten, maar ook bij kleinere, Nederlandse bedrijven hebben last van de strenge Europese privacyregels. “Eigenlijk speelt het wel voor elk bedrijf. In low-cost landen als India kan je personeel inhuren. Als je daar een payroll-constructie hebt, dan moet je ook aan de EU-wetgeving voldoen”, aldus Vermeer-De Jonghe.

Volgens de advocate controleert de European Data Protection Board (EDPB), de overkoepelende organisatie waarin de nationale toezichthouders van de EU-lidstaten in zijn verenigd, steeds strenger op naleving en toepassing van de Europese privacywetgeving. Het is een kwestie van ‘comply or die’.

“Als je niet voldoet [aan de Europese privacyregels, red.] en naar een land persoonsgegevens doorstuurt dat geen adequaat beschermingsniveau kan bieden, dan kan een toezichthouder echt schorsen. Dan gaat het hele feest niet door en dat zijn vaak bedrijfskritische processen”, aldus Vermeer-De Jongh.

Nieuwe privacyrichtlijn moet meer duidelijkheid bieden

Eerder deze week kondigde de EDPB een nieuwe richtlijn aan voor data-uitwisseling van Europese bedrijven met niet-Europese partijen. De richtlijn legt onder meer vast wat er verstaan moet worden onder ‘een doorgifte naar derde landen of internationale organisaties’. Simpel gezegd betekent dit dat als data van Europese burgers de EU-grenzen verlaten, de Europese regels omtrent privacybescherming gelden. Alle uitgangspunten, beginselen en regels die in de AVG zijn vastgelegd, moeten dan in acht worden genomen. Eén van die regels is dat organisaties buiten de EU hetzelfde beschermingsniveau bieden als hier in Europa.

“De bescherming die mensen in de EU hebben onder de AVG en andere wetten, mag niet omzeild worden als hun gegevens de EU verlaten”, zo zei de Autoriteit Persoonsgegevens. Ook datastromen die niet onder de definitie ‘doorgifte’ vallen, moeten volgens de toezichthouder voldoen aan de Europese beschermingsregels.

De nieuwe richtlijn is volgens de Nederlandse toezichthouder hard nodig. Toen de Europese Commissie eerder dit jaar nieuwe modelcontracten uitbracht, zorgde dat voor flink wat verwarring. Het dagelijkse bestuur van de EU stelde dat de modelcontracten niet van toepassing waren ‘op doorgiften naar data-importeurs waarop de AVG al direct van toepassing is’. De EDPB stelt dat dat met de nieuwe regels wel nodig is.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen