Verwerkersovereenkomsten met grote partijen nog mogelijk?
De manier waarop persoonsgegevens worden uitgewisseld tussen de Verenigde Staten en de Europese Unie is ongeldig verklaard door Europese rechters. De reden hiervoor is dat het Europese Hof heeft vastgesteld dat de gegevens in de Verenigde Staten minder goed beschermd zijn dan in Europa. Voor de uitwisseling van gegevens tussen de Verenigde Staten en de Europese Unie was de ‘Privacy Shield’ in 2016 van kracht geworden. Doordat deze nietig is verklaard, zal er een nieuw systeem opgezet moeten worden voor de uitwisseling van gegevens tussen de Verenigde Staten en de lidstaten van de Europese Unie.
De Feiten
Binnen de Europese Unie hebben wij te maken met de regels van de Algemene verordening gegevensbescherming. Daarin is bepaald dat doorgifte van persoonsgegevens naar een derde land in beginsel slechts kan plaatsvinden, als het derde land een passend beschermingsniveau waarborgt. Dit kan worden gewaarborgd op basis van nationale wetgeving of internationale toezeggingen (artikel 45 AVG). Deze internationale toezeggingen worden ook wel SCC’s genoemd. Het blijft altijd de verantwoordelijkheid van zowel de verwerker als de verwerkingsverantwoordelijke om goede afspraken te maken over het verwerken van persoonsgegevens. Daarbij is het beschermingsniveau van belang, contractspartijen en de verwerkingsdoeleinden.
De verwerkersovereenkomsten blijven geldig, maar er wordt wel aangeraden om goed te kijken naar het beschermingsniveau van de organisaties buiten de Europese Unie. De Europese Commissie heeft een aantal standaardbepalingen opgesteld, SCC’s (Standard Contractual Clauses). Deze dienen overgenomen te worden door landen buiten de Europese Unie. Hiermee geeft het land aan dat zij een contractuele verplichting aangaan om de Europese persoonsgegevens te beschermen.
De beslissing
Met de invoering van het ‘Privacy Shield’ hadden Europese waakhonden al bedenkingen, over het beveiligingsniveau en de waarborging daarvan. Tegenwoordig zijn er genoeg organisaties vanuit de Verenigde Staten die gegevens verwerken vanuit de Europese Unie. Denk hierbij aan organisaties en applicaties zoals Facebook/Whatsapp, WeTransfer, Google, MailChimp en Microsoft.
Als we kijken naar Microsoft, die vele diensten levert aan organisaties binnen de Europese Unie dan zijn de contracten die gesloten zijn rechtsgeldig. Dit komt doordat in de voorwaarden van Microsoft al het modelcontract/SCC’s van de Europese Commissie is opgenomen. Ook is het primaire datacenter van Microsoft voor EU-landen in Ierland gevestigd, waardoor de gegevens binnen de Europese Unie worden opgeslagen en verwerkt. Als we kijken naar betaalde diensten van Google, dan wordt dezelfde constructie gehanteerd als bij Microsoft. Ten aanzien van Google Analytics, Facebook (en Whatsapp), MailChimp en WeTransfer geldt dat daar wel grote gevolgen voor gelden. Het gebruik van deze applicaties wordt gekwalificeerd als verwerking in de Verenigde Staten, waardoor het lastig is om deze persoonsgegevens op dit moment goed te kunnen beschermen.
Als we kijken naar de overeenkomst van WeTransfer, blijkt dat daar een bepaling in staat over het verwerken van persoonsgegevens en het delen van deze gegevens buiten de Europese Unie. In deze bepaling is opgenomen dat, als er geen alternatief beschermingsniveau van toepassing is, zoals de Privacy Shield, WeTransfer ervoor zorgdraagt om passende maatregelen te nemen. Hetzelfde geldt voor de overeenkomst van MailChimp. Hierin staat een bepaling opgenomen waarin staat dat zij zich houden aan het Privacy Shield en haar best doet om adequate maatregelen te treffen voor de bescherming van persoonsgegevens die in lijn zijn met de regels van de AVG. Zij treffen deze maatregelen zoals deze beschreven zijn in het Privacy Shield. MailChimp geeft aan dat als zij niet langer op deze manier de bescherming van persoonsgegevens kunnen waarborgen, zij dit aan de gebruikers duidelijk zullen maken.
Wat kunt u doen?
Ga na of u gebruik maakt van applicaties en organisaties (zoals onder andere hierboven genoemd). Blijkt dit het geval te zijn, let dan goed op welke gegevens er gebruikt worden en hoe deze verwerkt worden. Tot het moment dat er een nieuw systeem wordt opgezet, dat vergelijkbaar is met het ‘Privacy Shield’, moeten deze organisaties aanvullende beschermingsmaatregelen nemen en deze opnemen in de verwerkersovereenkomsten met partijen vanuit de Europese Unie.
Controleer uw informatiebeveiligingsmanagement en de bestaande verwerkersovereenkomsten en pas deze zo nodig aan. Het is uw verplichting om blijvend te voldoen aan de eisen van de Algemene verordening gegevensbescherming.
Wat kan SVC voor u doen?
Om gevolmachtigd agenten te ondersteunen bij het voldoen aan de eisen die worden gesteld aan informatiebeveiliging en de eisen vanuit de AVG, heeft SVC in haar Kennisportal een compleet AVG- programma. SVC kan gevolmachtigd agenten begeleiden bij het behalen van een ISO 27001-certificering. SVC heeft een speciaal abonnement toegevoegd aan haar Kennisportal met alle beleidsstukken en procedures voor de ISO 27001-norm. Wilt u meer informatie over onze dienstverlening, neem dan contact met ons op. Wij informeren u graag.
| Op de hoogte blijven het laatste nieuws? Meld u dan aan voor onze nieuwsbrief! 
|
