20 JAN, 2022 • Europees nieuws

Internationaal data delen: heldere afspraken, met name met de VS, zijn hard nodig

Al meer dan twee jaar geleden werd het akkoord tussen de EU en de VS over datadoorgifte, ‘het Privacy Shield’, ongeldig verklaard door het Europese Hof (Schrems-II). Het Hof oordeelde dat bedrijven zich op de hoogte moeten stellen van de surveillancewetgeving in het land waarnaar data wordt doorgegeven en van de mogelijkheden die een persoon heeft om zijn/haar rechten te verhalen in dat land. Dat levert voor veel bedrijven problemen op, want data mag niet zomaar meer gedeeld worden met landen buiten de Unie, zoals de VS. Lees hier meer over de consequenties van uitspraak van het Europese Hof van Justitie van de Europese Unie.

 

Totdat de EU en de VS nieuwe afspraken hebben gemaakt (‘adequaatheidsbesluit’: een Privacy Shield II), moeten bedrijven voor de doorgifte van persoonsgegevens naar landen buiten de EU gebruik maken van andere instrumenten uit de AVG, zoals de standaard contractclausules (ook bekend als SCCs) en Binding Corporate Rules (BCRs). Met behulp van SCCs maken bedrijven individuele afspraken over hoe er met data wordt omgegaan en wie de verantwoordelijkheid draagt. Deze modelcontracten voor uitwisseling van data buiten de EU zijn vorig jaar aangepast door de Europese Commissie naar aanleiding van de Schrems-II uitspraak. Bedrijven moeten zich op de hoogte stellen van de surveillancewetgeving in het land waarnaar toe data wordt doorgegeven en van de mogelijkheden die een persoon heeft om zijn/haar rechten te verhalen in dat derde land. Vervolgens moeten ze beoordelen welke privacy risico’s dit heeft voor hun data doorgifte naar dat land en of er maatregelen zijn te treffen om de risico’s weg te nemen of te beperken. Dit is een uiterst complexe en dure exercitie voor alle bedrijven, in het bijzonder het mkb.

 

Het Europese samenwerkingsverband van de privacy toezichthouders, de European Data Protection Board (EDPB), heeft richtsnoeren gepubliceerd om aanvullende informatie te verschaffen voor bedrijven over de implementatie van de Europese privacywetgeving naar aanleiding van de Schrems-II uitspraak. Voor bedrijven heeft dit weinig verlichting gebracht. Daar komt bij dat data doorgifte door de EDPB breed wordt uitgelegd, ‘remote access’ vanuit een land buiten de EU wordt bijvoorbeeld ook als datadoorgifte gezien.

 

VNO-NCW en MKB-Nederland dingen erop aan dat er snel een nieuw adequaatheidsbesluit komt tussen de EU en de VS. Ook moet er praktische steun zijn voor bedrijven om in hun specifieke geval eenvoudig te beoordelen of en op welke wijze data buiten de EU (breder dan de VS) op een veilige manier kan worden verwerkt. Bij het bepalen of een datadoorgifte naar een land buiten de EU kan plaatsvinden, zijn we voor een risico gebaseerde aanpak waarbij oog is voor daadwerkelijke realistische risico’s.

datadatabeschermingprivacy