Bedrijven en organisaties die persoonsgegevens van Europese burgers in landen buiten de EU opslaan moeten bij twijfel over de bescherming de data in de EU houden, zo stelt de Autoriteit Persoonsgegevens naar aanleiding van de recente Schrems II-uitspraak.
In juli verklaarde het Europees Hof van Justitie het Privacy Shield-verdrag tussen de Europese Unie en de Verenigde Staten ongeldig. Het verdrag moest de uitwisseling van persoonsgegevens tussen bedrijven in de Europese Unie en de VS regelen. Volgens de rechter zijn gegevens die onder het verdrag werden uitgewisseld niet goed beschermd in de Verenigde Staten. Door de uitspraak van het hof mogen bedrijven in de EU op grond van het Privacy Shield-verdrag geen persoonsgegevens meer aan de VS doorgeven.
De European Data Protection Board (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG), waaronder ook de AP, heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Het gaat hierbij om landen waar persoonsgegevens minder goed beschermd zijn dan in de EU.
Volgens de EDPB is de meest praktische oplossing voor de doorgifte van persoonsgegevens het gebruik van modelcontracten. "Maar dat mag in de meeste gevallen alléén als een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen", aldus de Autoriteit Persoonsgegevens. Aanvullende maatregelen zijn bijvoorbeeld encryptie en pseudonimisering.
Per geval zullen bedrijven moeten kijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen. Het zal echter niet altijd mogelijk zijn om aanvullende maatregelen te treffen. Het gaat dan bijvoorbeeld om landen die privacy en andere grondrechten onvoldoende beschermen. Bedrijven die in dergelijke landen persoonsgegevens opslaan zijn nog steeds verantwoordelijk dat dit veilig gebeurt.
Bij twijfel adviseert de Autoriteit Persoonsgegevens dan ook om data in de EU te houden. "Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU."
Deze posting is gelocked. Reageren is niet meer mogelijk.