Europa en VS bereiken akkoord over uitwisseling van persoonsgegevens

De Europese Commissie heeft met de Verenigde Staten (VS) overeenstemming bereikt over het raamwerk voor ‘transatlantische gegevensoverdracht’, de opvolger van de Safe Harbor-verdrag, dat vorig jaar door het Europese hof ongeldig is verklaard. De overeenkomst heeft de naam ‘EU-VS privacyschild’ gekregen.

De afspraken hebben onder andere betrekking op gegevens die door middel van Clouddiensten in de VS verwerkt of gehost zijn.

De nieuwe regeling bevat de volgende drie bouwstenen. Ten eerste een stelsel van voorwaarden waaronder data van Europese burgers mag worden verwerkt en de handhaving van de voorwaarden. Ten tweede bevat het privacyschild verplichtingen voor de Amerikaanse overheid om transparant te zijn over toegang tot de data. De VS beloven geen massasurveillance meer uit te voeren op Europese data. Ten slotte krijgen Europese burgers de mogelijkheid om hun beklag te doen wanneer zij menen dat hun data onjuist is gebruikt. Hiertoe wordt onder andere een ombudsman aangesteld.

De juridische tekst is nog niet beschikbaar, dat betekent dat de overeenstemming vooral betrekking heeft op toezeggingen van de VS.

Vervolg

De Europese Commissie heeft toegezegd binnen drie weken het conceptbesluit met alle onderliggende documenten aan de Europese privacytoezichthouders, zoals de Autoriteit Persoonsgegevens (AP), te sturen met het verzoek de Europese Commissie daarover te adviseren. De privacytoezichthouders zullen op basis van die documenten inhoudelijk beoordelen of het nieuwe akkoord voldoet aan de eisen van het Europees Hof van Justitie. Zolang is nog afwachten wat de exacte gevolgen voor gemeenten zijn. Zie de website van de AP voor de laatste ontwikkelingen.

Wat betekent dit voor gemeenten?

Natuurlijk blijft van kracht dat de doorgifte van persoonsgegevens naar de VS niet kan plaatsvinden op basis van het ongeldig verklaarde Safe Harbor-verdrag. Vanwege deze overeenstemming blijft het voor Amerikaanse bedrijven voorlopig mogelijk om gegevens van Europeanen te verwerken, zonder dat de Europese privacytoezichthouders, zoals de AP, boetes uitdeelt aan bedrijven die onder het Safe Harbor-verdrag gegevens uitwisselen met de VS.

De Europese privacytoezichthouders geven aan dat bestaande modelcontractbepalingen in de tussentijd gebruikt kunnen blijven worden. Na de inhoudelijke beoordeling van het ‘EU-VS privacyschild’ wordt bekeken of deze modelcontractbepalingen ook in de toekomst geldig blijven.

Voor gemeenten die hosten bij partijen binnen de Europese Economische Ruimte (EER) verandert er uiteraard niets door deze nieuwe overeenstemming. Host uw gemeente momenteel buiten de EER, dan blijft het advies om de huidige werkwijze voor doorgifte van persoonsgegevens aan de VS onder de loep te nemen en mogelijke privacyrisico’s weg te nemen.

Afspraken rondom informatieveiligheid

Kortom, het blijft belangrijk dat u als gemeente in alle gevallen gebruikelijke en heldere afspraken moet maken met leveranciers rondom informatieveiligheid. Dit kan bijvoorbeeld door middel van een Bewerkersovereenkomst, Service Level Agreements (SLA) en een Dossier Afspraken en Procedures (DAP). Het is belangrijk om u bij bestaande overeenkomsten af te vragen waar de data wordt opgeslagen. Sinds 1 januari is ook de Meldplicht Datalekken van kracht. In dat verband is het belangrijk om goede afspraken te maken leveranciers, denk hier aan: het melden van incidenten met persoonsgegevens, het treffen van passende beveiligingsmaatregelen et cetera.

Meer informatie?

Lees meer in het persbericht van de Europese Commissie en de Verklaring van de Europese privacytoezichthouders. Heeft u vragen naar aanleiding van dit bericht? Neem dan contact op via info@IBDgemeenten.nl of via 070 373 8011.