Het Schrems II arrest

Schrems II arrest

Het Europees Hof van Justitie maakte afgelopen zomer met het Schrems II-arrest een einde aan het bestaande Privacy Shield. Het Privacy Shield vormde de basis voor de uitwisseling van persoonsgegevens tussen de Europese Unie en de VS.

Reden voor de nietigverklaring van het Privacy Shield? De Amerikaanse inlichtingendiensten kregen verregaande inzagerechten in de datastromen die de VS binnen kwamen, waaronder ook de Europese. Daardoor kunnen de persoonsgegevens van Europese burgers nooit hetzelfde niveau van bescherming genieten zoals dat binnen de EU het geval is. Integendeel, ze konden zelfs te allen tijde opgevraagd en ingekeken worden!

 

Wat is nu precies het probleem?

Europese bedrijven die vandaag gebruik maken van Amerikaanse tools – zijnde Cloud services of online tools – exporteren eigenlijk continue gegevens naar de VS. Toegang tot de gegevens door een dochteronderneming of de serverlocatie kan soms al voldoende zijn om te spreken over data export.

Gelukkig zijn er de Standard Contractual Clauses denkt u? In theorie werden deze inderdaad opgesteld door de Europese Commissie om een veiligere gegevensexport te garanderen tussen ondernemingen zowel binnen als buiten de Europese Unie. Helaas kan men de dag van vandaag op basis van louter deze clauses onvoldoende bescherming garanderen.

De Europese Commissie heeft een herziening doorgevoerd van de clausules. Deze zijn sinds begin deze week hier beschikbaar.

 

Wat doet het Schrems II Arrest?

Het Schrems II Arrest garandeert een hogere beveiliging van persoonsgegevens van Europese burgers, ook buiten de EU. Betekent dit dat er geen data meer kan geëxporteerd worden naar de VS? Niet helemaal. Maar in het Arrest staat duidelijk opgenomen dat overdrachten van persoonsgegevens naar de VS steeds per case moeten beoordeeld worden. Veel hangt af van het type data en de gevoeligheid ervan.

Indien er een risico bestaat voor de integriteit van de uitgewisselde persoonsgegevens, dan moet men bijkomende veiligheidsmaatregelen nemen. We denken dan aan encryptie, anonimiseren enzovoort. Let er wel op dat je als onderneming zelf deze extra veiligheidsmaatregelen neemt, alvorens data te exporteren!

 

Wat kan ik zelf als onderneming doen?

  • Maak een inventaris van alle datastromen naar derde landen (landen buiten de Europese Economische Ruimte). Hiervoor kunt u gebruik maken van het bestaande verwerkingsregister, waarin alle verwerkingsactiviteiten reeds zijn opgenomen.
  • Contacteer uw dienstverleners in derde landen en consulteer of zij intussen extra maatregelen genomen hebben.
  • Controleer of er geen adequaatheidsbesluit met het derde land bestaat. Dit kan via de website van de Europese Commissie.
  • Beoordeel of Standard Contractual Clauses in combinatie met extra veiligheidsmaatregelen voldoende kunnen zijn om een passend beschermingsniveau te voorzien.
  • Als er geen adequaatheidsbesluit bestaat en er geen passend beschermingsniveau kan voorzien worden, dan kunt u de samenwerking met de leverancier beter stopzetten.

 

Hoe moet u nu verder?

Bezorgt bovenstaande info u al hartkloppingen? Geen reden tot paniek! Gelukkig bestaan er eveneens ‘veilige landen’, waarmee een adequaatheidsbesluit is afgesloten. Door het Brexit-akkoord wordt er verwacht dat dit eveneens zal afgesloten worden met de UK, tegen eind juni 2021.

Heeft u verder nog vragen over het correct opmaken van een inventaris van uw datastromen? Of heeft u hulp nodig bij het opstellen en uitwerken van bijkomende veiligheidsmaatregelen? SpotIT wilt u hier graag bij helpen!

Als u nog vragen heeft, neem gerust contact op.

ICONS