Mogen ondernemingen persoonsgegevens delen met de VS?

Geschreven door Enna Lujinovic

Als start-up met groeiplannen wil je snel uitbreiden. Daarom wil je je lokale opslag uitbreiden naar een cloudplatform. Hiervoor overweeg je het gebruik van een clouddienst en je twijfelt tussen Amazon Web Services, Microsoft Onedrive en Google Cloud Storage. Natuurlijk wil je voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en vraag je je af of je wel gebruik mag maken van een Amerikaanse leverancier. Je herinnert je iets over mogelijke problemen met Amerikaanse partijen, maar hoe zit dat precies?

Enige verwarring heerst over het gebruik van Amerikaanse leveranciers en de vraag in hoeverre dit veilig is. Deze onzekerheid is met name ontstaan nadat het Hof van Justitie van de Europese Unie in 2020 in de zaak Schrems II het Privacy Shield ongeldig verklaarde. Het Privacy Shield was een overeenkomst tussen de Verenigde Staten (VS) en de Europese Unie (EU) die de veilige uitwisseling van persoonsgegevens moest waarborgen. Na deze uitspraak was het niet langer mogelijk om gegevens uit te wisselen met de VS op basis van het Privacy Shield. Maar hoe zit het nu? Mag het nou wel of niet? Lees verder om meer te leren over de mogelijkheden om gebruik te maken van Amerikaanse leveranciers.

Wat zegt de AVG?

De AVG is van toepassing in de hele EU. Dit betekent dat persoonsgegevens die binnen de EU worden verwerkt, hetzelfde beschermingsniveau behouden, waardoor dit is toegestaan. Voor gegevensuitwisseling buiten de EU en de Europese Economische Ruimte (EER), met uitzondering van IJsland, Noorwegen en Liechtenstein, gelden echter andere regels op basis van de AVG. Dergelijke landen worden ook wel ‘derde landen’ genoemd. In deze context spreken we dan ook van een ‘doorgifte van persoonsgegevens aan een derde land’. De term ‘doorgifte’ en ‘uitwisseling’ kunnen vaag klinken, maar ze verwijzen naar het proces van gegevensverwerking. Bijvoorbeeld: het gebruik van een Amerikaanse cloudprovider, waarbij persoonsgegevens worden opgeslagen of verwerkt op servers in de VS, betreft een doorgifte van persoonsgegevens naar een derde land.

De regels zijn bedoeld om ervoor te zorgen dat persoonsgegevens niet zomaar naar landen worden doorgestuurd die niet hetzelfde beschermingsniveau bieden als de AVG. Indien er namelijk gegevens worden uitgewisseld met een land zonder hetzelfde beschermingsniveau, ontstaan er verschillende risico’s. Denk daarbij aan onrechtmatige toegang door overheidsinstanties, beveiligingsincidenten, misbruik van de gegevens etc.

De hoofdregel is dat persoonsgegevens alleen mogen worden doorgegeven aan derde landen, mits er sprake is van een passend beschermingsniveau. Indien een land dat niet heeft, dan mag doorgifte slechts plaatsvinden in de volgende gevallen:

  • Een adequaatheidsbesluit;

Dit is een beslissing van de Europese Commissie. Deze beslissing houdt in dat de Europese Commissie bevestigt dat het betreffende land een beschermingsniveau biedt dat gelijkwaardig is aan dat van de AVG. Voorbeelden hiervan zijn: Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Verenigd Koninkrijk en Verenigde Staten (nadere informatie over de VS volgt).

  • Passende waarborgen, zoals een modelcontract (SCC’s), een gedragscode, certificering of ‘binding corporate rules’ (BCR);

Modelcontracten (SCC's) zijn contractuele instrumenten die zijn ontworpen om te voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) bij het doorgeven van persoonsgegevens naar landen buiten de EU/EER die geen adequaat beschermingsniveau bieden.

Gedragscodes zijn vrijwillige richtlijnen die bedrijven kunnen volgen om gegevensbescherming te waarborgen, certificeringen zijn goedgekeurde keurmerken die bevestigen dat bedrijven voldoen aan bepaalde gegevensbeschermingsnormen, en Binding Corporate Rules (BCR’s) zijn interne regels binnen een internationale organisatie die zorgen voor een consistent niveau van gegevensbescherming bij internationale overdrachten.

  • Specifieke uitzondering

Bijvoorbeeld wanneer er toestemming is gegeven voor de uitwisseling buiten de EU/EER of het is noodzakelijk voor de uitvoering van een overeenkomst.

Wat was de situatie?

Met het destijds geldende Privacy Shield was het mogelijk om gegevens uit te wisselen met partijen gevestigd in de VS. Op basis van deze overeenkomst tussen het Amerikaanse ministerie van Economische Zaken en de Europese commissie (EC), konden organisaties in de VS hun certificering indienen. Indien de betreffende organisaties zich konden binden aan de naleving van de Privacy Shield-beginselen over bescherming van persoonsgegevens, werden deze organisaties opgenomen in een privacy shield-register. Daarmee werd aangetoond dat de betreffende partij voldoende beschermingsmaatregelen had genomen. Hierdoor konden de Europese organisaties gegevens uitwisselen met de geregistreerde partijen in de VS.

Op 16 juli 2020 oordeelde het Hof van Justitie van de Europese Unie echter dat het Privacy Shield ongeldig was. Deze uitspraak werd mede veroorzaakt door de mogelijkheid voor Amerikaanse overheidsinstanties om toegang te krijgen tot persoonsgegevens uit de EU, wat het beschermingsniveau onvoldoende maakte.

Wat zijn nu de regels voor gegevensuitwisseling met de VS?

Op 10 juli 2023 heeft de Europese Commissie het adequaatheidsbesluit aangenomen voor het nieuwe Data Privacy Framework tussen de EU en de VS. Dit besluit bevestigt dat het beschermingsniveau in de VS nu voldoende is. Het Data Privacy Framework stelt namelijk strikte waarborgen en er zijn beperkingen opgelegd aan de toegang van Amerikaanse overheidsinstanties tot deze gegevens. Hierdoor kun je Amerikaanse leveranciers gebruiken, op voorwaarde dat zij zich bij het Data Privacy Framework (DPF) hebben aangesloten. Dit kun je controleren op de website van het: Data Privacy Framework.

Mocht een organisatie niet zijn aangesloten bij het DPF, dan zijn er andere waarborgen nodig om gegevens uit te kunnen wisselen. Denk hierbij aan SCC’s, gedragscode, binding corporate rules etc.

Wat betekent dit voor jouw onderneming?

Gegevensuitwisseling met de VS is dus mogelijk. Dit betekent dat je ook gebruik kunt maken van Amerikaanse leveranciers, zoals cloudproviders of dienstverleners zoals Salesforce voor klantbeheer. Echter, dit betekent niet dat er zonder meer gegevens mogen worden uitgewisseld met de VS. Het is en blijft belangrijk om zorgvuldig om te gaan met de persoonsgegevens. Dit kun je doen door de volgende punten na te gaan:

  1. Bepaal welke diensten of producten je nodig hebt.

  2. Beoordeel vervolgens welke persoonsgegevens je hiervoor nodig hebt.

  3. Bij het zoeken naar een leverancier, neem privacyoverwegingen mee in je evaluatie.

  4. Controleer of de Amerikaanse leverancier is aangesloten bij het DPF: Data Privacy Framework.

  5. Controleer ook of de subverwerkers (partijen die persoonsgegevens voor de leverancier verwerken) zijn aangesloten bij het DPF: Data Privacy Framework.

  6. Indien dit niet het geval is, beoordeel of andere waarborgen zijn getroffen om een passend beschermingsniveau te waarborgen, zoals SCC’s, gedragscodes, certificeringen of BCR.

  7. Vraag altijd het privacybeleid op of lees de privacyverklaring goed door om te begrijpen hoe zij omgaan met persoonsgegevens.

  8. Als een Amerikaanse leverancier niet is aangemeld bij het DPF of geen andere waarborgen heeft, zoek dan naar alternatieven.

 

 

Enna Lujinovic
Volgende

De AI-Act, wat betekent dit voor jouw organisatie?