Privacy Shield, SCC’s en Brexit: doorgifte naar buiten Europa lijkt bijna niet meer toegestaan. Is het nu verboden om voor een niet-Europese leverancier te kiezen, of mag het wel, maar moeten zij aan extra regels voldoen? Zodra deze leverancier persoonsgegevens voor jouw Europese organisatie gaat verwerken, is de privacywet, de Algemene verordening gegevensbescherming (AVG) van toepassing. Hoe zat het ook alweer met doorgifte?
Mag ik nog een niet-Europese leverancier inschakelen?
Ondanks dat nog regelmatig wordt gedacht dat er opeens van alles verboden is sinds de komst van de AVG, valt dat in de praktijk wel mee. De AVG eist vooral dat er goed wordt nagedacht over de verwerking van persoonsgegevens, en dat niet van alles verzameld wordt omdat het ‘nice to have’ is. Zo is het ook nog steeds toegestaan om te kiezen voor een niet-Europese leverancier. Wel eist de privacywet dat zowel jouw organisatie als de ‘ontvangende’ organisatie een aantal extra stappen neemt om de bescherming van persoonsgegevens te waarborgen. Zo is doorgifte van persoonsgegevens naar buiten de Europese Economische Ruimte (EER) toegestaan wanneer:
- de Europese Commissie heeft bepaald dat het land een vergelijkbaar beschermingsniveau biedt als de AVG. De landen die aangemerkt worden als adequaat land zijn Andorra, Argentinië, Canada (voor commerciële organisaties), Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay en Zwitserland;
- een van de modelcontracten wordt gesloten die de Europese Commissie heeft opgesteld.
- er bindende bedrijfsvoorschriften aanwezig zijn, die zijn goedgekeurd door de Europese Commissie; of
- een afwijking uit artikel 49 van toepassing is, zoals toestemming van de betrokkene.
De gemiddelde ondernemer zal vaak kiezen voor een ‘adequaat’ land, daar zijn immers geen extra stappen voor nodig. Een andere veelgebruikte optie is het modelcontract, ook wel Standard Contractual Clauses (SCC’s) genoemd. Dit is immers kant-en-klaar en mag niet aangepast worden.
Privacy Shield? Brexit?
Velen zal het niet ontgaan zijn: het Privacy Shield is kapot, en de Standard Contractual Clauses (SCC’s) staan op losse schroeven. Het Privacy Shield was een soort adequaatheid voor Amerikaanse partijen. Daarmee konden zij middels zelfcertificering laten zien dat ze een aantal extra stappen hadden genomen om privacy te waarborgen. Het Europese Hof heeft hier in de zogenaamde Schrems II-zaak nu een streep door gezet. De SCC’s blijven als mechanisme geldig, maar alleen als de wetgeving in het ontvangende land niet afdoet aan het beschermingsniveau dat de SCC’s creëren. In de VS is dat wel het geval vanwege het meegluren door de Amerikaanse inlichtingen- en veiligheidsdiensten, waardoor het praktisch erg lastig wordt om nog voor een Amerikaanse leverancier te kiezen. Doe je dat wel? Doe dan due diligence, en vraag uit welke waarborgen de leverancier biedt tegen toegang door de overheid en mass surveillance. Ook moet dit aan de toezichthouder (Autoriteit Persoonsgegevens) gemeld worden.
Ook het Verenigd Koninkrijk is niet langer zondermeer een logische keuze. Hoewel 2020 een overgangsjaar is, is Brexit een feit en zullen er vanaf 2021 aanvullende waarborgen aanwezig moeten zijn voor leveranciers uit dit land. De meest voor de hand liggende is een adequaatheidsbesluit, maar voor wie daar niet op wil wachten, kunnen de SCC’s al gesloten worden. Houd wel rekening met Schrems II en doe due diligence door extra privacy waarborgen uit te vragen.
Houd het overzicht
En tot slot: houd het overzicht in je leveranciers en verwerkingslocaties door een verwerkingsregister bij te houden en hierover duidelijk te informeren in je privacyverklaring. Benieuwd of je op de juiste manier aan de privacywet voldoet? Kies dan de Privacy Verified-certificering die bij jouw organisatie past!
