EU-US Privacy Shield: eerste stap in veilige en geldige gegevensoverdracht naar de Verenigde Staten

Begin deze maand hebben de EU en de VS een politiek akkoord bereikt over een nieuw regime voor rechtsgeldige overdracht van persoonsgegevens tussen de continenten: het EU-US Privacy Shield. Hoewel dit akkoord een belangrijke stap is in het oplossen van de problemen die na de Safe Harbor-uitspraak zijn ontstaan, zal het naar verwachting nog enige tijd duren voordat het Privacy Shield een geldige basis voor gegevensoverdracht naar de VS wordt. Organisaties die hun gegevensoverdracht naar de VS baseren op het oude Safe Harbor regime lopen daarnaast verhoogd risico op handhaving door toezichthouders; toezichthouders hebben aangegeven vanaf 31 januari te zullen handhaven, waardoor een snel akkoord op en vaststelling van een nieuwe regeling nodig is. De toezichthouders, verenigd in de Artikel 29 Werkgroep, moeten zich nog uitspreken over het voorgestelde EU-US Privacy Shield.

Desalniettemin kunnen organisaties ook via andere wegen rechtsgeldige gegevensoverdracht tussen de EU en de VS tot stand brengen; zo kunnen zij (vooralsnog) met behulp van Standard Contract Clauses (SCC) of Binding Corporate Rules (BCRs) voldoende rechtsbescherming tot stand brengen waardoor gegevensoverdracht naar derde landen (waaronder de VS) mogelijk wordt.

Standard Contract Clauses

De Europese Raad en het Europees Parlement hebben de Commissie de bevoegdheid verleend om te beslissen, op basis van de Europese Privacy Richtlijn, of bepaalde Standard Contract Clauses (SCC’s) afdoende zijn om persoonsgegevens naar landen zonder adequate bescherming over te dragen. Deze moeten voldoende waarborgen bieden ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen.

Er zijn grofweg twee soorten Standard Contract Clauses: voor gegevensoverdracht van verantwoordelijke naar verantwoordelijke en voor gegevensoverdracht van verantwoordelijke naar bewerker. De SCC’s zijn “af”, ze hoeven alleen nog maar ingevuld te worden. Het toevoegen van bepalingen is toegestaan, mits deze niet direct of indirect afbreuk doen aan de SCC’s zoals opgesteld door de Commissie of aan privacyrechten van personen. Standard Contract Clauses zijn hier te vinden.

Binding Corporate Rules

Een andere geldige basis voor gegevensdoorgifte naar de VS zijn Binding Corporate Rules (BCR’s). BCR’s zijn gedragscodes (in overeenstemming met de Europese privacyrichtlijn) voor het gegevensverkeer binnen de eigen organisatie. Dergelijke interne gedragscodes kunnen werken voor internationale organisaties of multinationals, waarbij data wordt uitgewisseld tussen vele verschillende vestigingen. Voordat BCR’s een geldige basis vormen moeten ze worden goedgekeurd door Europese privacytoezichthouders.

Toezicht

De Artikel 29 Werkgroep beaamde dat voor nu SCC’s en BCR’s geldige mechanismes zijn op basis waarvan gegevensoverdracht naar derde landen mogelijk is, maar zei ook:
“… dat de toezichthouders in hun beoordeling zullen meenemen of dit ook voor de toekomst geldt.” SCCs en BCRs vereisen wel oplettendheid en continue handhaving binnen de organisatie. Ontwikkelingen op het gebied van privacy gaan snel en ook in organisaties is het gebruik van persoonsgegevens vaak volop in ontwikkeling.

Bent u benieuwd of voor uw bedrijf op basis van SCC’s of BCR’s data doorgifte naar de VS mogelijk is? Of wilt u weten of uw SCC’s of BCR’s nog aan de huidige wetgeving voldoen? Neem dan gerust contact met ons op!