gdpr-let-op-met-service-providers-in-de-verenigde-staten

Article

GDPR

Let op met service providers in de Verenigde Staten

Nieuwsbrief Actualiteiten, november 2020

Sinds de inwerkingtreding van de GDPR in 2018 mag een onderneming geen persoonsgegevens meer doorgeven aan een entiteit in een land dat niet gebonden is door de GDPR. Het betreft hier voornamelijk landen buiten de EU. Hierop kan enkel een uitzondering worden gemaakt indien de uitwisselende partijen bepaalde passende waarborgen treffen.

Eén van de waarborgen voor de uitwisseling van persoonsgegevens met de Verenigde Staten was tot voor kort het EU-U.S. Privacy Shield. Via dit Privacy Shield konden vanuit de EU relatief vrij persoonsgegevens worden doorgeven aan een onderneming in de Verenigde Staten die zich hierbij had aangesloten. De geldigheid van dit mechanisme werd echter al langer betwist. Recent heeft het Europees Hof Van Justitie in het zogenaamde ‘Schrems II’-Arrest dit Privacy Shield nu ook definitief ongeldig verklaard. Maar welke gevolgen heeft dit nu eigenlijk?

De beslissing om het EU-U.S.-Privacy Shield ongeldig te verklaren, heeft als gevolg dat de entiteiten in de Verenigde Staten die hierbij waren aangesloten niet langer persoonsgegevens vanuit de EU mogen verzamelen en verwerken. Dit is een behoorlijke streep door de rekening van onder meer bekende internetgiganten en/of service providers zoals Facebook, Amazon en Google, die reeds jaar en dag beroep doen op dit mechanisme als basis voor hun dienstverlening. Dit betekent echter niet dat deze bedrijven automatisch al hun dienstverlening in de EU onmiddellijk moeten stopzetten. Naast het Privacy Shield bestaan er immers nog een aantal andere passende waarborgen om de internationale doorgifte van persoonsgegevens GDPR-compliant te maken.

Een eerste alternatief zijn de standard contractual clauses. Dit zijn contractuele privacy clausules -opgesteld en goedgekeurd door de Europese Commissie- die de uitwisselende partijen kunnen toevoegen aan hun overeenkomst. Dit wordt aanzien als het meest laagdrempelige alternatief voor het Privacy Shield, en is dus dé oplossing waar de meeste service providers in de Verenigde Staten voor opteren.

Een ander alternatief zijn de binding corporate rules, die zich voornamelijk richten op de interne doorgifte van persoonsgegevens binnen een internationale groep. Weinig U.S.-bedrijven kiezen echter voor deze oplossing, omdat ze wordt gekenmerkt door een sterk formalistisch karakter (bv. verplichte voorafgaandelijke goedkeuringsprocedure bij de bevoegde gegevensbeschermingsautoriteit).

Hoewel het Hof deze mechanismes voorlopig nog overeind heeft gelaten, stelt het wel dat het louter gebruik ervan niet langer voldoende is. Elk EU bedrijf wordt immers verplicht om –zelfs als de U.S. entiteit een van deze mechanismes heeft geïmplementeerd– na te gaan of er ook in de praktijk effectief voldoende waarborgen zijn die de privacy rechten van de EU-burger beschermen. Het spreekt voor zich dat dit een zeer zware juridische en administratieve verplichting inhoudt.

In navolging van het arrest van het Hof, is het voor elke Europese kmo belangrijk om in kaart te brengen met welke service providers uit de Verenigde Staten wordt samengewerkt. Bovendien moet voor elk van deze partijen worden nagegaan of ze voldoende passende waarborgen hebben geïmplementeerd, zowel juridisch (bv. ‘standard contractual clauses’ of ‘binding corporate rules’) als in de praktijk (bv. technische en organisatorische maatregelen). Indien dit niet het geval is, dient de samenwerking te worden heroverwogen of de uitwisseling van data te worden stopgezet.

 

Gepubliceerd op 27/11/2020
Matthijs Huysentruyt, mhuysentruyt@deloitte.com   

Did you find this useful?