1 OKT, 2020 • Actueel
Sinds het Privacy Shield ongeldig werd, heeft elk bedrijf een probleem
Data verzameld op Europees grondgebied mogen voortaan niet meer zomaar op Amerikaanse servers staan. Dat is het gevolg vande uitspraak Schrems IIwaarmee een streep werd gehaald door het zogenoemde Privacy Shield. Klinkt abstract, maar het betekent dat de bakker om de hoek klantgegevens niet langer zomaar kan noteren in een Amerikaans programma als SalesForce. En dat is een groot probleem. Wie lost het op?
Het Europese Hof heeft een streep door het EU-VS-privacyschild gehaald. So what?
De uitspraak van het Hof van Justitie van de Europese Unie – ook wel Schrems-II genoemd – waarmee een streep werd gehaald door het privacyschild heeft grote gevolgen. Dit zogenoemde EU-VS Privacy Shield is een overeenkomst tussen de EU en de Verenigde Staten waarin de bescherming van persoonsgegevens van EU-burgers wordt geregeld als die in de Verenigde Staten worden ‘verwerkt’. Bijna alle bedrijven hebben hier op de een of andere manier wel mee te maken, omdat ze Amerikaanse software of bijvoorbeeld clouddiensten gebruiken.
Volgens het Europese Hof is die bescherming van persoonsgegevens niet voldoende. Zo kunnen veel meer gegevens van personen – op grond van de Amerikaanse wetgeving – door inlichtingen- en veiligheidsdiensten ingezien worden dan volgens Europese normen voor privacybescherming is toegestaan.De uitspraak betekent in feite dat bedrijven in de Europese Unie die Amerikaanse software of bijvoorbeeld clouddiensten gebruiken niet langer ophetPrivacy Shield kunnen terugvallen. Daarnaast is er nog een éxtra probleem: de alternatieve manier om dit goed te regelen met een zogenoemde standaard overeenkomst (ook wel SCC’s genoemd)is ook geen echt alternatief.
Dat zal toch niet voor alle bedrijven gelden?
Misschien niet voor alle Nederlandse bedrijven, maar wel voor veel van hen. Denk dan aan bedrijven die (een deel van) hun helpdesk buiten de EU hebben belegd om te zorgen dat ze 24 uur per dag service kunnen verlenen. Maar ook aan bedrijven die gebruik maken van Amerikaanse clouddiensten, callcenters of software om gegevens mee te verwerken. Zodra er een dienst of software wordt gebruikt waardoor of waarmee gegevens kunnen worden doorgegeven aan een land buiten de Europese Unie, is er al een potentieel probleem.
Zelfs de bakker om de hoek die de wekelijkse nieuwsbrief aan haar klanten via (het Amerikaanse) MailChimp verstuurt, heeft een probleem. Of de mkb’er die klantcontacten opslaat in een programma zoals (het Amerikaanse)SalesForce. Als er een kans bestaat dat gegevens van burgers ‘doorgegeven’ worden (lees: bijvoorbeeld opgeslagen worden op een server buiten de EU) en als niet vaststaat dat het land waar die gegevens worden opgeslagen of gebruikt een bescherming biedt, die vergelijkbaar is met die in de EU, heb je als gebruiker een probleem. De Europese Commissie heeft een lijst op haar site staan van landen die wel een passende bescherming bieden. Maar veel landen staan hier (nog) niet op.
zelfs de bakker heeft al een probleem met een mailing aan klanten via MailChimp
Dit moet toch snel op te lossen zijn?
Helaas, de oplossing is eigenlijk nog niet zo eenvoudig. Het huidige Privacy Shield is een overeenkomst tussen het Amerikaanse ministerie van Economische Zaken en de Europese Commissie die na tijdrovende onderhandelingen tot stand is gekomen. Nieuwe onderhandelingen starten met de VS, zeker in een verkiezingsjaar, zal tijd kosten.
Een andere optie is dat wetgeving – zoals de Amerikaanse – wordt aangepast, zodat gegevens wel goed beschermd zijn. Het zou goed zijn als de Europese Unie zich daar hard voor maakt, maar het betreffende land moet dan wel bereid zijn die aanpassing te doen. Kritiek van de EU – een grote handelsblok – zullen landen zoals Amerika zich wel aantrekken, omdat het anders wel erg ingewikkeld wordt om nog langer zaken te doen in de EU.
Het is hoe dan ook een proces van lange adem. Terwijl er nu er vooral op korte termijn actie nodig is om bedrijven vooruit te helpen. Wachten op de bereidheid van niet-EU-lidstaten om wetgeving aan te passen, is niet de snelste en beste strategie.
Een helder filmpje waarin de gevolgen van de uitspraak worden uitgelegd, vind je hier:
Kunnen bedrijven nu geen diensten meer blijven afnemen van bijvoorbeeld Amerikaanse bedrijven?
Voor de doorgifte van persoonsgegevens naar niet-EU-lidstaten zoals de VS en straks het VK, kan nog wel gebruik gemaakte worden van een zogenoemde standaard overeenkomst (ook wel bekend als ‘SCC’). Dat is een contract met een leverancier waarin je afspraken maakt overde manier waarop met persoonsgegevenswordt omgegaan en wie waar verantwoordelijk voor is.
Dit is voor bedrijven een van de meest gebruikte middelenom doorgifte naar landen buiten de EU te regelen. Maar ook daar is nu paal aan perk aan gesteld door de uitspraak van het Europese Hof. Sinds de uitspraak moet een bedrijf er namelijk voor zorgen dathet op de hoogte is van de wetgeving van het land waaraan de persoonsgegevens worden doorgegeven.
Dat betekent dat bedrijven voortaan moeten onderzoeken of er wel regelgeving geldt die een vergelijkbare bescherming biedt als die in Europa. Worden er – bijvoorbeeld door de Nationale Veiligheidsdienst – niet meer persoonsgegevens verzameld dan nodig is? Kan je als Europeaan wel je recht halen in dat land als er iets gebeurt met jouw gegevens wat niet in de haak is?
Ondernemen in een coronacrisis is al ingewikkeld genoeg
Als het om één land gaat, is het nog wel te doen. Maar wat als je als klein bedrijf gebruik maakt van een Brits mailprogramma, een Amerikaanse cloudopslag en Japanse boekhoudsoftware. De wetgeving van al die landen doorzien, is gewoon niet te doen. De gemiddelde mkb’er heeft nu eenmaal geen grote juridische afdeling om alles uit te pluizen. En zelfs voor grote juridische afdelingen is het complex. Zo simpel en doorzichtig is de meeste (surveillance)wetgeving niet, dus zelf een beetje googelen is zeker niet voldoende.
Waarom doen Europese bedrijven dan niet gewoon alleen maar zaken met bijvoorbeeld clouddiensten in Europa?
Dat wordt snel geroepen: laat bedrijven dan maar zaken doen met Europese partijen. Voor veel diensten is er geen Europees alternatief. En verhuizen van data naar Europese servers neemt veel tijd in beslag.Bovendien biedt dat nog geen oplossing voor de bedrijven die een helpdesk buiten de EU hebben om klanten de hele dag van dienst van kunnen zijn. En niet voor alle marketingtools is er een Europees alternatief. Het ontwikkelen van Europese alternatieven neemt tijd in beslag.Op korte termijn biedt dat dus geen oplossing.
Wie moet datnu oplossen dan?
Zoals gezegd moet een bedrijf zich op de hoogte stellen van de (surveillance)wetgeving van het land waaraan persoonsgegevens worden doorgegeven. Ter aanvulling hierop heeft het Hof aangegeven dat áls uit dat onderzoek blijkt dat de bescherming niet op orde is, Europese bedrijven zélf extra maatregelen moeten nemen. Die extra maatregelen moeten er dan voor zorgen dat de bescherming van de data van Europese burgers goed op orde is.
Wat die extra maatregelen zijn en waar die aan moeten voldoen, is niet duidelijk. Wat zou helpen, is als het European Data Protection Board – waarin alle nationale privacy toezichthouders uit de Europese Unie samenwerkenom te zorgen dat de AVG goed wordt nageleefd in alle landen – een ‘catalogus’ ontwikkelt met concrete opties waaruit bedrijven kunnen kiezen. Afhankelijk van het specifieke risiconiveau van hun datadoorgifte kunnen ze dan voor een zwaarder of lichter pakket extra maatregelen kiezen.
Haast is daarbij geboden, want duizenden Europese bedrijven zitten nu al met een groot probleem. En zolang de duidelijkheid er nog niet is, is het belangrijk dat de European Data Protection Board bedrijven een overgangsperiode biedt. Dan kunnen ze tenminste doorgaan met ondernemen totdat het echt goed is geregeld. Ze willen immers wel, maar weten op dit moment alleen niet hoe. Ondernementijdens de coronacrisis is al ingewikkeld genoeg, dus laten we dat niet nóg moeilijker maken.
Op de hoogte blijven van onze beste artikelen?Schrijf je dan gratis in voor onze nieuwsbrief.
Handig: de wekelijkse Forum-alert
Handig: de wekelijkse Forum-alert