De internationale overdracht van persoonsgegevens is voor de meeste bedrijven een essentieel onderdeel van hun dagelijkse activiteiten.
Zo is het mogelijk dat uw bedrijf de persoonsgegevens van uw klanten bewaart in een cloudservice die in een ander land gehost wordt.
Of misschien bewaart u de persoonsgegevens van medewerkers in een dochteronderneming die in een ander land is gevestigd.
Als gevolg van de invoering van de wetgeving inzake gegevensbescherming is de handel in gegevens voor bedrijven in de EU een stuk complexer geworden.
Met deze blogpost willen we de overdracht van gegevens duidelijk maken en alle relevante informatie verzamelen op één plaats.
We beginnen met een korte inleiding over de EU-initiatieven inzake gegevensbescherming en de manier waarop men in de loop der jaren met de overdracht van gegevens is omgesprongen.
Vervolgens geven we u een overzicht van de nieuwste adviezen met betrekking tot de overdracht van gegevens naar andere landen.
Met deze aanbevelingen kunt u ervoor zorgen dat al uw overdrachten in overeenstemming zijn met de AVG.
Wat is Schrems II, en wat heeft het met cookies te maken?
Het verhaal van Schrems II begint op 25 mei 2018, toen de AVG van kracht werd.
De AVG wil de persoonsgegevens van de Europeanen beschermen door de verwerking ervan te reglementeren en hen zelf te laten bepalen wat er met hun gegevens gebeurt.
Daartoe is vooral het toestemmingsgedeelte van de AVG van essentieel belang. Daarin staat dat de bedrijven aan hun websitebezoekers moeten meedelen welke cookies ze op hun website gebruiken, welke gegevens er verzameld worden, en met welk doel.
Maar hoe moet het dan als u zaken doet met bedrijven buiten de EU?
Als de autoriteiten beslissen om de gegevens van de Europese bevolking te beschermen, mag dat niet stoppen aan de Europese grenzen.
Elk bedrijf en elk land moet deze gegevens respecteren en beschermen, of ze nu in de EU zijn of daarbuiten.
Veel Europese bedrijven sturen bijvoorbeeld gegevens naar de VS. Daarom staat er in de AVG dat:
"internationale overeenkomsten die de overdracht van persoonsgegevens aan landen buiten de Unie of aan een internationale organisatie omvatten, in overeenstemming moeten zijn met de wetgeving van de Unie".
Dat betekent dat bedrijven of landen een overeenkomst met de EU moeten ondertekenen als zij gegevens willen ontvangen en die willen verwerken volgens de wet op de gegevensbescherming.
Op 8 juli 2016 werd de definitieve versie van de overeenkomst over de gegevensoverdracht tussen de EU en de VS – het Privacy Shield Framework – goedgekeurd door de vertegenwoordigers van de EU-lidstaten.
4.646 Amerikaanse organisaties ondertekenden een document waarin zij verklaren dat zij, wanneer zij gegevens uit de EU ontvangen, die zullen verwerken in overeenstemming met de AVG.
Elk Europees bedrijf moet echter op de hoogte zijn van de bestemming van de persoonsgegevens, zodat overal een gelijkwaardig beschermingsniveau wordt gegarandeerd.
De belangrijkste factor bij dit besluit was de sectie over toestemming in de AVG. Voortaan kunnen websitebezoekers zelf bepalen op welke manier hun gegevens worden verzameld en verwerkt.
Dat betekent dat gebruikers die cookies weigeren geanonimiseerde gegevens zullen opleveren.
Noch Europese, noch Amerikaanse bedrijven kunnen daar iets mee aanvangen.
Max Schrems – een Oostenrijkse activist en advocaat, las het Privacy Shield Framework en analyseerde de manier waarop de gegevensoverdracht volgens de overeenkomst verloopt. Er klopte iets niet.
De nationale veiligheidsdienst in de VS mocht namelijk alle op Amerikaans grondgebied beschikbare gegevens opvragen en ontvangen.
Daardoor werd het essentiële gelijkwaardige niveau van gegevensbescherming niet gegarandeerd.
Sinds 16 juli 2020 is het Privacy Shield Framework niet meer van kracht. Het Europese Hof van Justitie heeft besloten dat de beperkingen van de Amerikaanse wetgeving inzake de gevensbescherming niet beantwoordden aan de vereiste “essentiële gelijkwaardigheid” met de EU-wetgeving.
Dit arrest staat bekend als Schrems II. Naar aanleiding van deze uitspraak begonnen bedrijven als Facebook en Google met de bouw van datacentra in de EU.
In de AVG is een sectie opgenomen waarin wordt uitgelegd wat er moet gebeuren als er geen overeenkomst zoals het Privacy Shield bestaat:
"Bij ontstentenis van een besluit waarbij een adequaat beschermingsniveau wordt vastgesteld, moet de verantwoordelijke of de verwerker maatregelen nemen ter compensatie van het gebrek aan gegevensbescherming in een bepaald land door passende waarborgen te bieden aan de betrokkene."
Het is nu de verantwoordelijkheid van de bedrijven om ervoor te zorgen dat de gegevensoverdracht volgens de SCC’s (Standard Contractual Clauses) verloopt.
De nieuwe versie van de SCC’s beantwoordt aan de nieuwe vereisten van de AVG en is gebaseerd op het Schrems II-arrest van het EHvJ, waardoor de gegevens van de Europese burgers een hoog beschermingsniveau genieten.
Waarom moet u de nieuwe aanbevelingen van het Europees Comité voor gegevensbescherming kennen?
Zoals eerder vermeld, zijn de verantwoordelijken en de verwerkers van gegevens verplicht om ervoor te zorgen dat de overdrachtsmiddelen in het betrokken land overeenstemmen met de vereisten van de AVG.
Het is hun taak om de betrokken landen te evalueren en waar nodig aanvullende maatregelen te treffen.
Het Europees Comité voor de gegevensbescherming publiceerde deze aanbevelingen om exporteurs (hetzij verantwoordelijken voor de verwerking of verwerkers, particuliere entiteiten, of overheidsinstanties die persoonsgegevens verwerken binnen het toepassingsgebied van de GDPR) te begeleiden bij deze complexe taak.
Deze aanbevelingen omvatten een reeks te volgen stappen, mogelijke informatiebronnen, en enkele voorbeelden van aanvullende maatregelen die getroffen kunnen worden.
Wat zijn de aanbevelingen van het Europees Comité voor Gegevensbescherming?
- Ken uw overdrachten
- Bepaal uw overdrachtsmiddelen
- Ga na of het overdrachtsmiddel krachtens artikel 46 van de AVG afdoende functioneert onder alle omstandigheden van de overdracht
- Neem aanvullende maatregelen
- Neem procedurele stappen als u doeltreffende aanvullende maatregelen heeft getroffen
- Evalueer regelmatig opnieuw
Stap 1: Ken uw overdrachten
Als u gegevens naar landen buiten de EU wilt overbrengen, moet u elke overdracht in het oog houden. Deze stap is van wezenlijk belang, aangezien de exporteur aanvullende maatregelen moet treffen als het beschermingsniveau in het land van ontvangst niet overeenstemt met de vereisten van de AVG.
Het kan heel wat tijd en moeite kosten om al uw overdrachten in kaart te brengen. Ons Compliance Dashboard kan dit echter voor u doen. Probeer het gratis!
Stap 2: Bepaal uw overdrachtsmiddelen
Nadat u uw gegevensoverdrachten in kaart heeft gebracht, moet u bepalen welke overdrachtsmiddelen u gaat gebruiken. Als u in de eerste stap heeft ontdekt dat u gegevens verstuurt naar landen zonder een toereikende overeenkomst met de EU, moet u ervoor zorgen dat u de geschikte overdrachtsmiddelen gebruikt. Die kunnen onder meer zijn:
- Beroep op een besluit waarbij een beschermingsniveau passend wordt verklaard.
- Overdrachtsmiddelen krachten artikel 46 van de AVG; (bijvoorbeeld een wettelijk bindende en afdwingbaar middel tussen overheidsinstanties of -organen).
- Vrijstellingen.
Voor de overdrachten naar landen met een toereikende overeenkomst met de EU zijn geen verdere maatregelen vereist.
Stap 3: Ga na of het overdrachtsmiddel krachtens artikel 46 van de AVG afdoende functioneert onder alle omstandigheden van de overdracht
In de derde stap moet u nagaan of er in de wetgeving of de praktijken van het betrokken land sprake is van elementen die afbreuk kunnen doen aan de doeltreffendheid van de overdrachtsmiddelen.
Het onderzoek naar deze praktijken zal voor uw evaluatie vooral van belang zijn wanneer:
- De wetgeving in het betrokken land niet wordt toegepast in de praktijk.
- Het betrokken land geen geschikte wetgeving kent die verenigbaar is met het overdrachtsmiddel.
- Uw importeur onder een dubieuze wetgeving valt of zou kunnen vallen (een wetgeving die in strijd is met de AVG-voorschriften).
In de eerste twee situaties moet u de gegevensoverdracht stopzetten of aanvullende maatregelen treffen. In de derde situatie kunt u ook beslissen om door te gaan met de overdracht, zonder daarbij aanvullende maatregelen te treffen.
In dat geval moet u aantonen dat u geen reden heeft om aan te nemen dat de desbetreffende en dubieuze wetgeving in de praktijk zal worden toegepast en/of geïnterpreteerd.
U vindt mogelijke informatiebronnen voor de evaluatie van betrokken landen in het officiële document van het Europees Comité voor gegevensbescherming, bijlage 3.
Stap 4: Neem aanvullende maatregelen
In de vierde stap moeten de nodige aanvullende maatregelen worden vastgesteld en aangenomen om het beschermingsniveau van de overgedragen gegevens op het essentiële gelijkwaardigheidsniveau van de EU te brengen.
Deze stap is alleen nodig als uw overdracht onder één van de drie eerder vermelde situaties valt.
Voorbeelden van aanvullende maatregelen vindt u in het officiële document van het Europees Comité voor gegevensbescherming, bijlage 2.
Als u geen aanvullende maatregelen voor uw overdracht kunt vinden, moet u de gegevensoverdracht verhinderen, opschorten of beëindigen.
Stap 5: Neem procedurele stappen als u doeltreffende aanvullende maatregelen heeft getroffen
De vijfde stap betreft het ondernemen van eventuele procedurele maatregelen om de aanvullende maatregelen vast te stellen, al naar gelang het overdrachtsmiddel. Het kan zijn dat u zich daarvoor tot uw bevoegde autoriteiten moet wenden.
Stap 6: Evalueer regelmatig opnieuw
De zesde en laatste stap omvat het regelmatig evalueren van het beschermingsniveau dat bij uw overdracht wordt geboden. U moet nagaan of er zich wijzigingen of ontwikkelingen aandienen die daarop van invloed kunnen zijn.
Hoe kan ons Compliance Dashboard u helpen?
Het bepalen van uw overdrachten is de eerste en belangrijkste stap in de aanbevelingen van het Europees Comité voor gegevensbescherming.
Mogelijk gebruikt u third-party services uit de VS, China of andere onveilige landen die cookies op uw websites plaatsen. Als exporteur is het uw plicht om op de hoogte te zijn van deze overdrachten. Met een goed hulpmiddel ter identificatie, vermijdt u rechtszaken en boetes.
“Privacyrisico’s EU/EEA” is een essentiële functie van het Compliance Dashboard. Hiermee wordt weergegeven waar uw websites cookies en gegevens naartoe sturen. Op die manier kunt u uw overdrachten steeds controleren en ervoor zorgen dat uw bedrijf voldoet aan de AVG.
Het Compliance Dashboard is ook bedoeld voor wie een volledig overzicht wil van hun nalevingsniveau, toestemmingspercentages, en cookies.
Cookie Information’s Compliance Dashboard, overzicht van de privacyrisico’s