Privacy Shield ongeldig, wat nu?

Hoe gaan gemeenten om met doorgifte persoonsgegevens buiten de EER? Naar aanleiding van de Schrems II-uitspraak over de ongeldigverklaring van Privacy Shield en de nieuwe EDPB aanbevelingen (European Data Protection Board) ontving de IBD vragen over doorgiftes van persoonsgegevens naar derde landen.

Essentie Schrems II-arrest

Eén van de voornaamste redenen dat Privacy Shield geen stand hield voor de Europese rechter is dat EU-burgers geen (effectieve) mogelijkheid hebben om naar de rechter te stappen als zij vermoeden dat hun persoonsgegevens onrechtmatig door de Amerikaanse overheid worden verwerkt. Bovendien hebben de veiligheidsdiensten in de VS te ruime toegang tot de gegevens. Dit is niet nieuw, de risico’s hiervan voor betrokkenen hebben we al eerder geanalyseerd en worden op deze pagina verwoord en doorlopend geactualiseerd.

Wat betekent dit?

Het is goed om op te merken dat een verdrag tussen de EU en de VS ‘slechts’ één van de waarborgen is voor een zorgvuldige omgang met doorgiftes van persoonsgegevens buiten de EU. Dit geldt ook voor de nieuwe modelcontracten (standard contractual clauses, SCC’s). Veel andere waarborgen en maatregelen vindt u veel dichter bij (het gemeente)huis, zoals bijvoorbeeld:

  • Gebruik van het borgingsdocument om in control te blijven op de implementatie van de AVG
  • Gebruik van de standaard verwerkersovereenkomst
  • Detailafspraken met leveranciers, procedures voor wijzigingen in deze afspraken
  • Kennis van de wijze hoe, waar en op welke wijze leveranciers omgaan met uw data
  • De soorten data die u zelf verwerkt in de betrokken systemen van de leveranciers en de wijze waarop die geminimaliseerd, gepseudonimiseerd of geanonimiseerd is.

Aanvullende waarborgen

Als u in beeld heeft welke doorgiftes van persoonsgegevens naar derde landen plaatsvinden – bijvoorbeeld aan de hand van het verwerkingsregister – dan is het mogelijk om per geval te bepalen of extra waarborgen nodig zijn. De verwerkingsverantwoordelijke gemeente blijft onder de AVG eindverantwoordelijke (richting o.a. de betrokkenen, zoals de inwoners) voor het voldoen aan de AVG. Het is natuurlijk niet in het belang van leveranciers in derde landen om een product of dienst te leveren aan Europese klanten die tegen Europese privacywet- en regelgeving ingaan. In dat licht is het ook aan de leverancier om aan te geven welke stappen zij nemen om te zorgen dat ze zoveel mogelijk hiermee in overeenstemming handelen.

Feitelijke beveiliging niet gewijzigd

De feitelijke veiligheid of beveiliging van de data is niet gewijzigd als direct gevolg van de uitspraak, ‘alleen’ de juridische status van een afsprakenset tussen (lidstaten van) de Europese Unie en de Verenigde Staten van Amerika. Uiteraard is dit een onwenselijke situatie waar op Europees niveau een oplossing voor zal moeten worden gezocht. De VNG heeft periodiek overleg met de AP, de privacytoezichthouder in Nederland, waarin wij informeren naar de stand van zaken. We houden gemeenten hiervan op de hoogte.

Moeten wij ons contract met een Amerikaanse leverancier opzeggen?

Een veelgestelde vraag is of nu contracten moeten worden opgezegd met Amerikaanse partijen. Dat zou alleen aan de orde zijn als het geheel van maatregelen en waarborgen onvoldoende is om de doorgiftes van persoonsgegevens naar Amerika passend te beschermen.

Eventuele nadere uitleg van de AP of het EDPB weegt in dit kader mee. De AP meldt hierover:

“Alleen als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, mogen zij nog persoonsgegevens doorgeven aan de VS. En aan andere landen waarmee de EU geen (geldige) afspraken heeft over bescherming van persoonsgegevens.”

Zie dit bericht van de AP naar aanleiding van de nieuwe EDPB aanbevelingen. Ontwikkelingen rondom dit vraagstuk zijn bijgewerkt op de pagina over de risico’s van opslag van persoonsgegevens bij Amerikaanse partijen.

Moeten wij nu kiezen voor een leverancier uit de EER?

Een andere veelgestelde vraag is of het beter is om te kiezen voor een Nederlandse of Europese partij. Vanuit privacyoogpunt is verwerking door een partij binnen de EER uiteraard een extra waarborg voor zorgvuldige omgang. Bij een leverancierskeuze spelen echter meer overwegingen dan dat. Eisen aan functionaliteit, gebruiksgemak, compatibiliteit, ondersteuning, noodzakelijke opleidingen en kosten, om maar een paar voorbeelden te noemen, moeten in de leverancierskeuze worden meegenomen.

Andere vragen? Stel ze op het VNG privacyforum

U kunt uw vragen (aan andere gemeenten) ook stellen op het veelbezochte VNG privacyforum.

Risico’s verwerking persoonsgegevens door Amerikaanse partij

Risico’s verwerking persoonsgegevens door Amerikaanse partij

De belangrijkste aandachtspunten bij verwerkingen door Amerikaanse partijen hebben we op een rijtje gezet.

Lees hier meer

Gerelateerd