Vrijwel alle bedrijven zijn tegenwoordig actief bezig met hun beleid voor het verwerken van persoonsgegevens. Onderdeel hiervan is de correcte omgang met het delen van persoonsgegevens buiten de Europese Economische Ruimte (EER). Met betrekking tot de Verenigde Staten (VS) hebben zich recent nieuwe ontwikkelingen voorgedaan. Deze veranderingen zijn interessant voor iedereen die zich bezighoudt met AVG-compliance, maar ook voor betrokkenen zelf.
Persoonsgegevens delen met derde landen
Het komt regelmatig voor dat een organisatie persoonsgegevens deelt met een organisatie uit een ander land. Deze doorgifte naar een land buiten de EER is alleen mogelijk als dat land een voldoende beschermingsniveau heeft. Een derde land kan dit aantonen via een adequaatheidsbesluit. De Europese Commissie is bevoegd om te besluiten dat een land een adequaat beschermingsniveau heeft. Oftewel: dat het niveau in ieder geval gelijkwaardig is aan de bescherming in de Europese Unie (EU). Organisaties kunnen met deze landen persoonsgegevens delen zonder extra maatregelen te hoeven nemen. Voor landen zonder een adequaatheidsbesluit moeten aanvullende passende waarborgen worden genomen.
Nieuw adequaatheidsbesluit EU en VS
Een eerder adequaatheidsbesluit betreffende de VS is in 2020 door het Hof van Justitie van de EU ongeldig verklaard. Hierdoor ontstond onzekerheid voor bedrijven. Ook zorgde het voor verhoogde transactiekosten bij de handel tussen beide landen. De Europese Commissie oordeelt nu dat de bezwaren van het Hof van Justitie met het Data Privacy Framework zijn weggenomen. Zo hebben Amerikaanse inlichtingendiensten enkel toegang tot persoonsgegevens uit de EU voor zover dat noodzakelijk en evenredig is. Ook is een Data Protection Review Court ingesteld. Hier kunnen betrokkenen terecht met klachten.
Niet achteloos persoonsgegevens delen met de VS
Een begrijpelijke eerste gedachte kan nu zijn: we kunnen weer gemakkelijk persoonsgegevens delen met de VS. Het klopt dat blokkades zijn weggenomen, maar controles vooraf zijn nog steeds nodig. Het is noodzakelijk om te controleren of een organisatie uit de VS is aangesloten bij het Data Privacy Framework. Dit kan gemakkelijk via deze website. Wees je er echter wel van bewust dat bepaalde onderdelen van een organisatie niet onder het Framework kunnen vallen. De Autoriteit Persoonsgegevens raadt dan ook aan om bij de organisatie zelf te controleren of het betreffende onderdeel ook onder het Framework valt. Bij een positief antwoord kun je de persoonsgegevens zonder extra maatregelen delen.
Houdt dit Framework wel stand?
Het Data Privacy Framework is ondertussen al het derde raamwerk voor gegevensuitwisseling tussen de EU en de VS. Het is geen verrassing dat opnieuw kritische geluiden zijn te horen. De vraag is dus hoe lang het Framework stand zal houden. Voordat we eventueel zover zijn dat ook dit ongeldig wordt verklaard, hebben we waarschijnlijk nog wel een aantal jaar. Voor nu zorgt deze ontwikkeling voor duidelijkheid en voor minder werk voor partijen.
Heb jij in kaart met welke partijen je persoonsgegevens deelt?
Als je controleert of bepaalde partijen zijn aangesloten bij het Data Privacy Framework, dan is dat een goed moment om alle partijen waarmee persoonsgegevens worden gedeeld onder de loep te nemen. Er kan soms sneller sprake zijn van het delen van persoonsgegevens met derde landen dan op voorhand gedacht. Zo slaan veel cloudopslagdiensten persoonsgegevens op servers buiten de EER op. Een ander voorbeeld is het in dienst nemen van werknemers of zzp'ers vanuit andere landen. Of wat dacht je van het opkomende remote werken voor langdurige tijd? Deze situaties kunnen lastige beoordelingsvragen opleveren. Heb je hier hulp bij nodig? Dan adviseren we je daar graag in. Neem hiervoor of voor andere vragen contact met ons op.
Deze blog is geschreven in samenwerking met Luuk Wassink.