Cross border

Binnen de privacy wetgeving  AVG (GDPR) worden strenge eisen gesteld aan de verwerking van persoonsgegevens. Persoonsgegevens zijn alle gegevens die gerelateerd kunnen worden aan een natuurlijke persoon. Deze wet is een Europese wet die binnen alle landen van de Europese Economische Ruimte (EER) op dezelfde manier dient te worden uitgevoerd. De uitwisseling van gegevens binnen de EER kent wel eisen maar geen belemmering.

Nu biedt de GDPR ook regelgeving voor verwerking van gegevens van personen (‘betrokkenen’ noemt de wet hen) uit de EU in landen buiten de EER, oftewel “cross border”. Hiervoor is er allereerst de zogenoemde “adequacy decision”. De EU, bij monde van de European Data Protection Board (EDPB), kan beslissen dat een land hetzelfde niveau aan privacybescherming biedt als de GDPR [1].

Daarnaast is er de mogelijkheid om afspraken te maken met (groepen) bedrijven die zich als bedrijf in een ander land verplichten om te zorgen voor een adequate bescherming van de privacy conform de GDPR. Dat kan op drie manieren door die bedrijven worden ingevuld:

1. Privacy Shield. Dit is een set van afspraken en maatregelen inzake privacybescherming waaraan bedrijven binnen de VS zich kunnen conformeren. Als een bedrijf erkend is door de Privacy Shield organisatie dan voldeed deze aan de GDPR. Let op: deze regeling is nu herroepen door het Europese Hof. Bedrijven kunnen onvoldoende voorkomen dat veiligheidsdiensten zich toegang verschaffen tot de persoonsgegevens.
2. Standard Contractual Clauses (SCC). Dit zijn erkende standaard privacyafspraken tussen een bedrijf in de EU en een bedrijf in een ander land. Let op: ook deze vorm is door het Europese Hof als onvoldoende beschermend verklaard.
3. Binding Corporate Rules (BCR). Hierbij gaat het om een onderneming met vestigingen binnen en buiten de EU, die zich jegens een van de Europese toezichthouders verplicht om de privacy in voldoende mate te beschermen. Deze vorm, in combinatie met dataopslag binnen de EU, lijkt op dit moment nog de meest veilige optie. Immers, de desbetreffende Europese toezichthouder heeft zich dan met de handelswijze akkoord verklaard.

Op 16 juli is het Privacy Shield tussen de EU en de VS en Standard Contractual Clauses vervallen. Hiermee is het gebruik van de services van dergelijke US-based aanbieders, maar ook van aanbieders in andere landen buiten de EER zonder adequacy beslissing van de EU, voor de verwerking van persoonsgegevens niet meer compliant. Anders gezegd, je voldoet daarmee niet langer aan de wet, de AVG (GDPR).

Binnen de EU werkt men heel hard om een vervangend afsprakenstelsel te ontwikkelen. De vraag is of dit op korte termijn beschikbaar zal komen. Ondertussen is het van belang, en een harde eis binnen de kaders van de AVG, dat bedrijven zelf proactief inventariseren welke persoonsgegevens via welke systemen en in welke landen worden verwerkt. ‘Verwerken’ dient daarbij ruim opgevat te worden: van bijvoorbeeld invoer, via opslag tot het versturen van e-mails en het ontvangen van aanvragen via een website. RDC heeft al haar diensten kritisch getoetst aan de vereisten die voortvloeien uit de AVG. Wij hebben onder andere kunnen herbevestigen dat onze crm-applicatie CaRe-Mail geen gebruik maakt van buitenlandse dienstverleners en dus vanuit dat oogpunt volledig voldoet aan de AVG-vereisten. Een hele geruststelling voor u als gebruiker van CaRe-Mail. Wij adviseren u om binnen uw organisatie goed te inventariseren of er sprake is van dienstverleners buiten de EU en als dat zo is, na te denken over oplossingen om aan de wettelijke vereisten te voldoen.

[1] De EU heeft op het moment van schrijven Andorra, Argentinië, Canada (commerciële  organisaties), Faeröer Eilanden, Guernsey, Israel, Isle of Man, Japan, Jersey, Nieuw Zeeland, Zwitserland en Uruguay aangemerkt als landen die adequate bescherming bieden.