Privacy Shield is niet meer geldig. Is dat een ramp? Is dat geen ramp? Wat is eigenlijk de impact? Terechte vragen. Maar het feitelijke issue bij grensoverschrijdende gegevensverwerking is meer dan alleen Privacy Shield. Ik zal proberen om kort samen te vatten welke keuzes je als organisatie moet maken en wat de impact is van het ongeldig verklaren van het Privacy Shield.
Vraag 1: welke gegevens verwerk ik eigenlijk en is er sprake van verwerking van persoonsgegevens?Dit is een basisvraag die altijd geldt. Als geen sprake is van de verwerking van persoonsgegevens is de privacy wetgeving niet van toepassing. Het recente besluit rondom Privacy Shield heeft hier niets aan gewijzigd.
Vraag 2: je moet weten in welk land de verwerking plaatsvindt, ook de verwerking door eventuele subverwerkers? Verwerkingen van persoonsgegevens zijn juridisch gezien geen punt in alle landen binnen de EU, de EER en nog een aantal landen daarbuiten waarvoor een adequaatheidsbesluit van toepassing is (bijvoorbeeld Israël, Japan, Australië of Zwitserland[1]). De VS hoort daar helaas niet bij. Het recente besluit rondom Privacy Shield heeft hier niets aan gewijzigd.
Vraag 3: als gegevens door verwerkers in de VS worden verwerkt, zijn hiervoor dan helemaal geen juridische mogelijkheden?Jawel – hier kan worden gekeken naar de Standard Contractual Clauses (hierna: SCC) die de EU hanteert. Partijen als Microsoft, Google en AWS stellen zich te houden aan de SCC’s. Kleine addertjes onder het gras: het is niet altijd duidelijk of alle diensten van deze partijen onder de SCC’s vallen en welke data exact in EU en de VS staat. Al met al is dit wel een reden om je af te vragen in hoeverre het niet makkelijker is om je data aantoonbaar in de EU te zetten.
Ongeacht het land waar de gegevens worden verwerkt blijft het de vraag of de gegevens passend beschermd zijn. Zijn de juiste technische en organisatorische maatregelen getroffen en wordt toegezien op de verwerking, ook bij eventuele subverwerkers? Dit ziet zowel op de verwerkingen binnen de EU als die binnen de VS. Ook hierop heeft de ongeldigverklaring van Privacy Shield geen invloed.
Waar heeft de ongeldigverklaring van Privacy Shield dan wel invloed op? Goede vraag. Privacy Shield was vooral een juridische basis voor Amerikaanse partijen die geen SCC’s wilden accepteren en op basis van een eigen certificering konden aantonen dat zij zich aan Privacy Shield committeerden. En die basis is nu komen te vervallen.
Leuk en aardig, maar wat nu? De veiligste weg is om te zorgen dat persoonsgegevens aantoonbaar in de EU worden verwerkt. Is onontkoombaar dat gegevens in de VS worden verwerkt? Onderbouw dan duidelijk waarom dit noodzakelijk is, stuur op de adoptatie van SCC’s en beperk de gevoeligheid van persoonsgegevens die in de VS worden verwerkt.