De European Data Protection Board (EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Hiermee worden landen bedoeld waar de persoonsgegevens minder goed beschermd zijn dan in de EU. Het beoogde doel is meer duidelijkheid voor het bedrijfsleven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde. In juli concludeerde de hoogste Europese rechter namelijk in de Schrems II-arrest dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet, ondanks het Privacy Shield. Dat waren de afspraken tussen de EU en de VS op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS. Met deze uitspraak zette het Hof een streep door het Privacy Shield.
Alleen als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, mogen zij nog persoonsgegevens doorgeven aan de VS en aan andere landen waarmee de EU geen (geldige) afspraken heeft over bescherming van persoonsgegevens.
De meest praktische oplossing voor bedrijven die persoonsgegevens willen doorgeven naar derde landen, is het gebruik van modelcontracten (ook wel standaardbepalingen, standard contractual clauses of SCC’s genoemd). Maar dat mag in de meeste gevallen alléén als een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen.
Aanbevelingen van de EDPB
Om bedrijven te helpen die bescherming te waarborgen, heeft de EDPB aanbevelingen opgesteld voor aanvullende maatregelen bij het gebruik van ‘doorgifte-instrumenten’, waaronder modelcontracten. De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven zullen per geval moeten bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen. Als bedrijven persoonsgegevens willen opslaan in landen waar persoonsgegevens minder goed worden beschermd, is het hun eigen verantwoordelijkheid om te waarborgen dat dit alsnog net zo veilig gebeurt.
Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU, aldus de Autoriteit Persoonsgegevens.
Veiligheidsdiensten in de VS
Veel bedrijven slaan data op in de VS. De Europese rechter heeft de USA specifiek benoemd als land waar persoonsgegevens niet goed beschermd zijn. De veiligheidsdiensten aldaar mogen alle persoonsgegevens op servers inzien en gebruiken. Ze kunnen ook persoonsgegevens onderscheppen vóórdat ze in de VS aankomen. De rechtsbescherming door een onafhankelijke rechter is onvoldoende geregeld in de VS, zo concludeerde het Europese Hof van Justitie.
De aanbevelingen van de EDPB staan open voor commentaar van bijvoorbeeld bedrijven en hun brancheverenigingen. Deze publieke consultatie start binnenkort via de website van de EDPB. Na de consultatie stelt de EDPB de definitieve aanbevelingen vast.
Bron: Autoriteit Persoonsgegevens
