Het bedrijfsleven krijgt meer duidelijkheid over de doorgifte van data naar landen zoals de VS waar anders over privacy wordt gedacht. De European Data Protection Board (EDPB) heeft daarvoor een aantal aanbevelingen aangepast. Sinds het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde in de zogeheten Schrems II-uitspraak, was over de doorgifte van data grote onzekerheid ontstaan.
Eerdere aanbevelingen zijn op een aantal punten gewijzigd. De adviezen zijn praktischer van aard geworden. Zo raadt de EDPB bedrijven aan om naar de ervaringen te vragen van de partijen met wie zij zaken doen in het derde land en deze mee te wegen in de beoordeling of doorgifte mogelijk is en onder welke voorwaarden. Zo is het raadzaam die partij te vragen of zij weleens te maken heeft gehad met bijvoorbeeld een inlichtingendienst die persoonsgegevens vorderde.
De Europese organisatie voor databescherming geeft nu ook voorbeelden van maatregelen die een bedrijf kan nemen om te voorkomen dat Amerikaanse veiligheidsdiensten toegang krijgen tot persoonsgegevens van Europeanen. Volgens de Amerikaanse wet (Foreign Intelligence Surveillance Act) hebben die diensten het recht om personen van buiten de VS te surveilleren en hun data op te vragen.
Modelcontracten
Doorgifte van persoonsgegevens naar de VS en de meeste andere landen buiten de EU kan nog wel op basis van modelcontracten. Deze contracten worden ook wel standaardcontract-bepalingen genoemd. Begin deze maand heeft de Europese Commissie een nieuw modelcontract gepubliceerd.
De voorwaarde voor doorgifte op basis van een modelcontract is dat een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen. Dat is de eigen verantwoordelijkheid van dat bedrijf. Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Dan adviseert de AP om de doorgifte te stoppen en data in de EU te houden.
ls de VS persoonsgegevens beter gaan beschermen, kunnen er nieuwe afspraken komen tussen de EU en de VS, vergelijkbaar met het Privacy Shield. De doorgifte van persoonsgegevens naar de VS zal dan makkelijker en veiliger zijn. De Europese Commissie is dan ook in onderhandeling met de VS over nieuwe afspraken.
Als dit waar is (en dat is het) “Volgens de Amerikaanse wet (Foreign Intelligence Surveillance Act) hebben die diensten het recht om personen van buiten de VS te surveilleren en hun data op te vragen.” dan kan het volgende niet waar zijn voor de VS “Doorgifte van persoonsgegevens naar de VS en de meeste andere landen buiten de EU kan nog wel op basis van modelcontracten.”.
Gebruik maken van Amerikaanse leveranciers zorgt altijd mogelijk voor doorgifte naar de VS door de Foreign Intelligence Surveillance Act en dus is het opslaan van die persoonsgegevens bij die Amerikaanse leveranciers verboden.
Het is juist steeds het zoeken naar die uitwijkmogelijkheden die het twijfelachtig maakt terwijl dat niet nodig is. Gelukkig is het advies het AP ook om data bij EU leveranciers op te slaan.
Ik begrijp bedrijven niet dat ze het gedoe accepteren en bedrijfsrisico willen lopen door zaken te doen met Amerikaanse cloudleveranciers.
Europese commissie kan zich de moeite van onderhandelingen besparen want zolang bepaalde Amerikaanse wetgeving niet veranderd blijft het een stratenmaker-op-zee-show. Eerdere modelcontracten werden door Europese Hof ongeldig verklaard en dat zal met nieuwe contracten ook gebeuren want Amerikanen kijken niet anders tegen privacy aan maar hebben een geheel eigen visie op buitenlandse bedreigingen.