Privacy Compliance na Schrems II

Dit blog beschrijft in het kort de praktische relevantie van de recente uitspraak ‘Schrems II’ van het Hof van Justitie van de Europese Unie voor uw organisatie. Terwijl de exacte gevolgen van de uitspraak de komende tijd nog uitgekristalliseerd moeten worden, bevat dit blog een aantal voorbeelden van acties welke uw organisatie kan ondernemen om te blijven voldoen aan privacy wet- en regelgeving.

Die naam komt bekend voor..

Wellicht zegt de naam ‘Max Schrems’ u nog iets. Max Schrems is de Oostenrijkse rechtenstudent die eigenhandig – en waarschijnlijk met veel vrije tijd om handen – strijd voerde tegen het Safe Harbor framework. Het Safe Harbor framework had als doel persoonsgegevens van Europese ingezetenen die binnen de VS verwerkt werden te beschermen. Schrems verdedigde (gesterkt door de onthullingen van Edward Snowden betreffende de vergaande surveillance ambities van Amerikaanse inlichtingendiensten) dat zijn persoonsgegevens ondanks de Safe Harbor principes in de VS niet veilig waren. Zijn strijd was succesvol en in 2015 werd het Safe Harbor framework ongeldig verklaard.

Ook Privacy Shield sneuvelt

Als vervanger van het Safe Harbor framework werd al snel ‘Privacy Shield’ geïntroduceerd. Via zelf-certificering middels Privacy Shield konden Amerikaanse organisaties aantonen dat zij persoonsgegevens verwerkten op een wijze die voor ingezetenen van de EU voldoende waarborgen bood. De heer Schrems was van mening dat ook onder Privacy Shield zijn persoonsgegevens niet afdoende werden beschermd en ging opnieuw de strijd aan. Wederom werden zijn zorgen erkend en vorige week is via de uitspraak ‘Schrems II’ ook Privacy Shield ongeldig verklaard.

De uitdaging voor het bedrijfsleven

Om persoonsgegevens van Europese ingezetenen ook buiten de grenzen van de EU te beschermen zijn onder de Algemene Verordening Gegevensbescherming (AVG) in artikel 44 en verder bepaalde regels verbonden aan doorgifte van persoonsgegevens buiten de EU. Het Privacy Shield was één van de mogelijkheden waarop persoonsgegevens rechtmatig mochten worden doorgegeven aan organisaties op Amerikaans grondgebied. Ongeveer 5300 organisaties waren gecertificeerd onder Privacy Shield. Nu dit middel van rechtmatige doorgifte ongeldig is verklaard moeten organisaties op zoek naar een alternatief.

Een andere mogelijkheid om persoonsgegevens rechtmatig naar de VS door te geven was het afsluiten van zogenaamde ‘standaard contractuele clausules’. Via deze clausules legt u contracueel een aantal beschermingsmaatregelen vast waardoor persoonsgegeven buiten de EU – in principe – afdoende worden beschermd. Na deze uitspraak staan echter ook de standaard contractuele clausules op de tocht. Ook inclusief deze contractuele clausules biedt het Amerikaanse rechtssysteem hoogstwaarschijnlijk niet voldoende waarborgen voor de bescherming van persoonsgegevens.

Hoe dan wel?

Deze uitspraak laat het belang zien controle en overzicht te behouden over de externe partijen waarmee uw organisatie persoonsgegevens deelt. Een goed ingeregeld vendor risk management proces maakt het mogelijk snel en effectief op veranderingen zoals in dit blog beschreven te acteren.

Een aantal voorbeelden van acties welke uw organisatie kan ondernemen:

• Het verwerkingsregister of contractmanagementsysteem kan helpen inzicht te krijgen in het aantal partijen dat voor uw organisatie persoonsgegevens verwerkt binnen de VS, en of deze partijen de verwerking van persoonsgegevens baseren op Privacy Shield. Zo peilt u de gevolgen voor uw organisatie.
• In geval van clouddiensten kunt u bekijken of uw organisatie vòòr doorgifte van persoonsgegevens naar de VS via technische maatregelen additionele waarborgen kunt creëren. Bijvoorbeeld door persoonsgegevens vòòr opslag te versleutelen.
• Daarnaast zou u nog eens goed kunnen kijken of het überhaupt nodig is persoonsgegevens te delen met organisaties op Amerikaans grondgebied, of dat uw doel ook kan worden bereikt met anonieme gegevens.
• Een andere optie zou kunnen zijn de persoonsgegevens alleen nog te (laten) verwerken binnen de grenzen van de EU.
• Houdt de website van de Autoriteit Persoonsgegevens en andere toezichthouders goed in de gaten. Naar verwachting zullen deze partijen met richtlijnen komen hoe om te gaan met deze uitspraak van het Hof.

Capgemini helpt

Middels onze service offering Vendor Risk Management, welke specifiek gericht is op het managen van privacy en security risico’s bij uw leveranciers, kan Capgemini uw organisatie op een snelle en pragmatische manier op meerdere vlakken ondersteunen.

Capgemini kan u onder meer helpen bij het creëren van overzicht van uw contracten met leveranciers en waar deze leveranciers persoonsgegevens verwerken. Capgemini kan u bovendien helpen bij het controleren of uw contractuele relaties met leveranciers (of andere zakenpartners) in de VS na deze uitspraak nog voldoen aan privacy wet- en regelgeving. In het geval u niet meer voldoet aan de vereisten van doorgifte van persoonsgegevens buiten de EU  kan Capgemini oplossingsrichtingen (zoals een aantal hierboven beschreven) bieden en helpen deze te implementeren.

Door Vendor Risk Management goed in te regelen creëert u een digitaal betrouwbare waardeketen, verbetert uw bedrijfscontinuïteit en verzekert u dat uw organisatie zich kan blijven focussen op uw core business.

Voor meer informatie over de gevolgen van de uitspraak Schrems II voor uw organisatie, neem vrijblijvend contact op met joost.de.kam@capgemini.com.

Voor meer informatie over de diensten die Capgemini uw organisatie kan bieden betreffende Vendor Risk Management, zie de volgende pagina op onze website.