Privacy Shield vervallen: geen data van Europese burgers op Amerikaanse servers

Privacy Shield vervallen: geen data van Europese burgers op Amerikaanse servers

17 November 2020 door in Security

Werkt jouw organisatie met leveranciers in Amerika? Bijvoorbeeld je cloud provider of SaaS leverancier? Door het vervallen van de Privacy Shield wetgeving kan het zijn dat jouw organisatie niet meer AVG compliant is. Het advies: bij twijfel, houd je data in de EU.

Hoe zat het juridisch ook al weer met het Privacy Shield?

Met de Schrems II-zaak is per 16 juli 2020 het Privacy Shield ongeldig verklaard met onmiddellijke ingang. Organisaties in de EU kunnen geen persoonsgegevens aan de VS doorgeven op grond van het Privacy Shield.

Werken met modelcontracten, zogeheten Standard Contractual Clauses (SCC), is volgens het hof een doeltreffend mechanisme dat waarborgt dat het vereiste beschermingsniveau in acht wordt genomen. Het bezwaar is echter dat het een belofte is en geen zekerheid. Want ook met getekende contracten zou de Amerikaanse overheid in Europese data kunnen kijken.

Verder wijst het hof erop dat je verplicht bent om zelf eerst na te gaan of het land waar je gegevens naartoe exporteert het beschermingsniveau in acht neemt. Aan de andere kant zou de buitenlandse ontvanger van gegevens verplicht het aan jou als exporteur moeten melden indien hij niet in staat zou zijn om die bepalingen na te leven. In dat geval moet jij de doorgifte van gegevens opschorten en / of de overeenkomst met de ontvanger beëindigen.

Aanbeveling EDPB: “Houd data Europese burgers weg van Amerikaanse servers”

De European Data Protection Board (EDPB) heeft inmiddels aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Landen waar persoonsgegevens minder goed beschermd zijn dan in de EU.

De EDPB zegt hierbij dat alleen als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, zij nog persoonsgegevens aan de VS mogen doorgeven. Andere landen waarmee de EU geen (geldige) afspraken over de bescherming van persoonsgegevens heeft vallen hier ook onder.

Heb je commentaar op het EDPB of suggesties?

De aanbevelingen van de EDPB staan open voor commentaar van bijvoorbeeld bedrijven en hun brancheverenigingen. Deze publieke consultatie start binnenkort via de website van de EDPB. Na deze fase stelt de EDPB de definitieve aanbevelingen vast.

Onderneem nu actie om de privacy van jouw data te waarborgen

Organisaties in de EU kunnen dus geen persoonsgegevens aan de VS meer doorgeven op grond van het Privacy Shield. Verwerkt jouw organisatie persoonsgegevens en heb je leveranciers buiten de EU? Ga dan onmiddellijk aan de slag met een checklist of je nog wel voldoet aan de AVG. Wij hebben een checklist gemaakt van 4 stappen om je op weg te helpen. Wil je dat Cyso je helpt, dan staan wij natuurlijk altijd voor je klaar.

Neem contact met ons op

Nog niet in de cloud? Dan is dit het moment om hierover na te denken

Zit je nog niet in de cloud maar ben je dat wel van plan? Dan is nu een goed moment om te kijken of een Europese cloud provider een alternatief kan zijn voor jouw organisatie. Hiermee voorkom je extra administratie rompslomp van SCC’s en het afwachten op de nieuwe wet. Een Nederlands alternatief is FUGA Cloud.

Let ook op de Brexit: vanaf 1 januari 2021 geen onderdeel meer van de EU

De Brexit is ook van invloed op de bescherming van persoonsgegevens. Onderwerpen die voor het eind van 2020 moeten worden geadresseerd zijn:

  • Vanaf 31 december 2020 moet er een Data Privacy Representative worden aangesteld.
  • De Data Protection Officer mag niet alleen in het Verenigd Koninkrijk zijn. Deze moet zich in de EU bevinden. Dit heeft te maken met “toegankelijkheid”. Een Engelstalige DPO kan bijvoorbeeld niet “toegankelijk zijn” voor een Duitstalig persoon.
  • Op dit moment zijn de Standard Contract Clausules nog geldig, maar de vraag is voor hoe lang nog.
  • Vanaf 1 januari 2021 zal de Britse Information Commissioner’s Office niet langer een “toezichthoudende autoriteit” zijn onder de EU AVG. De privacy toezichthouder hangt af van het land waar de processing gebeurt.
  • Vanaf 1 januari 2021 komen Britse bedrijven en particulieren niet langer in aanmerking voor een .eu-domein.

Meer lezen? Check: Five data protection issues to consider under brexit-before-dec-31/


Waar moet je op letten als je data buiten de EU hebt staan?

Door het wegvallen van het Privacy Shield is er onduidelijkheid ontstaan over welke extra waarborgen eventueel nodig zijn als je met Standard Contractual Clauses werkt. Wil je zeker weten dat je AVG compliant bent, onderneem dan actie.

Data management checklist

Stap 1: Inventariseer welke Amerikaanse leveranciers je hebt.

Vanuit de AVG moet je een verwerkingsregister hebben waarin staat welke data met welke partijen gedeeld wordt. Hieruit zou je eenvoudig moeten kunnen achterhalen van welke Amerikaanse dienstverleners er gebruikt wordt gemaakt. Kijk ook in dit register welke additionele verwerkersovereenkomsten of andere afspraken over data je hebt gemaakt.

Stap 2: Bepaal of er Standard Contractual Clauses (SCC) afgesloten moeten worden

Voor organisaties buiten de EU is een SCC een standaardcontract om dataprivacy af te sluiten. Op dit moment zijn die contracten in principe nog steeds geldig. Je vind de SCC’s op de site van de Europese Commissie.

Stap 2a: Kan je leverancier de afspraken van de SCC naleven?

Indien je overgaat tot het afsluiten van een SCC met je leverancier ben je verplicht om na te gaan of de leverancier de afspraken ook echt kan naleven. Max Schrems heeft op zijn website een vragenlijst gepubliceerd die je door jouw leveranciers in kunt laten vullen.

Stap 3: Welke aanvullende maatregelen zijn nodig?

Het blijft op dit moment een grijs gebied of met de SCC de Amerikaanse inlichtingendiensten buiten de deur gehouden kunnen worden. Denk er dus goed over na waar je jouw data hebt staan, en of het wel nodig is dat het daar staat.

Een e-mailadres voor je nieuwsbrief is iets anders dan bijvoorbeeld medische gegevens. In dat geval zou je kunnen kijken naar Europese aanbieders. Kijk ook of je huidige leverancier de mogelijkheid biedt om data op te slaan op Europese servers en om data encrypted op te slaan.

Stap 3: Welke aanvullende maatregelen zijn nodig?

Het blijft op dit moment een grijs gebied of met de SCC de Amerikaanse inlichtingendiensten buiten de deur gehouden kunnen worden. Denk er dus goed over na waar je jouw data hebt staan, en of het wel nodig is dat het daar staat.

Een e-mailadres voor je nieuwsbrief is iets anders dan bijvoorbeeld medische gegevens. In dat geval zou je kunnen kijken naar Europese aanbieders. Kijk ook of je huidige leverancier de mogelijkheid biedt om data op te slaan op Europese servers en om data encrypted op te slaan.

Stap 4: Stop met het uitwisselen van data naar de VS als je geen aanvullende afspraken kunt maken

Wil je het zekere voor het onzekere nemen? Kijk dan naar Europese partijen die hun eigen cloud hebben en Europese datacenters. Als je ervan bewust bent dat je niet meer aan de wet kan voldoen, plan dan vooruit en zet je data op Europese bodem.

Stap 5: Kijk naar Europese alternatieven

Een Nederlands alternatief is FUGA Cloud. Europese alternatieven zijn Hetzner (Duits) en OVH (Frans).

Bij twijfel: houd data in de EU

Het is niet altijd mogelijk om aanvullende maatregelen te nemen die de persoonsgegevens voldoende beschermen. Daarvoor hebben sommige landen niet genoeg bescherming van privacy en andere grondrechten. Europese bedrijven en de Europese privacytoezichthouders hebben hier weinig invloed op.

Heb je onderzoek gedaan en is er nog steeds enige twijfel over de veiligheid? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd je data dan in de EU.

Kom je er niet uit? Laat je dan adviseren. Bij Cyso staan we je graag te woord.

Lees ook: Aanbevelingen EDPB voor doorgifte persoonsgegevens na Schrems II-uitspraak & Houd data Europese burgers weg van Amerikaanse servers

Data in Nederland bij Cyso

Wil je niet afwachten en je data op Nederlandse bodem hebben? Bij Cyso hebben wij 2 eigen datacenters in Amsterdam voor maximale toegankelijkheid en snelheid. Wil je weten wat wij voor je kunnen betekenen? Neem dan contact met ons op.

Waarom bij Cyso?

Met meer dan 50 man en meer dan 23 jaar ervaring werken wij dagelijks aan IT-oplossingen voor onze klanten. Oplossingen die veilig, stabiel en innovatief zijn. Wij vinden IT namelijk super gaaf en wij zijn overtuigd dat het van essentieel belang is voor succesvolle organisaties.

  • 23 jaar ervaring en know how: talloze andere organisaties hebben ons het vertrouwen gegeven over het beheer van hun cloud omgevingen.
  • Het gemak van outsourcen met 24×7 beschikbaarheid vanuit Cyso.
  • 2 eigen datacenters in Amsterdam voor maximale toegankelijkheid en snelheid.
  • ISO 20000, ISO 27001 en NEN 7510 gecertificeerd.

Neem contact met ons op

Verder lezen? Lees ook: Veelgestelde vragen over het arrest van het Hof van Justitie van de Europese Unie in zaak C-311/18 – Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems


Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
Bel me terug