image

Autoriteit Persoonsgegevens: houd data bij twijfel in de EU

vrijdag 13 november 2020, 12:02 door Redactie, 2 reacties

Bedrijven en organisaties die persoonsgegevens van Europese burgers in landen buiten de EU opslaan moeten bij twijfel over de bescherming de data in de EU houden, zo stelt de Autoriteit Persoonsgegevens naar aanleiding van de recente Schrems II-uitspraak.

In juli verklaarde het Europees Hof van Justitie het Privacy Shield-verdrag tussen de Europese Unie en de Verenigde Staten ongeldig. Het verdrag moest de uitwisseling van persoonsgegevens tussen bedrijven in de Europese Unie en de VS regelen. Volgens de rechter zijn gegevens die onder het verdrag werden uitgewisseld niet goed beschermd in de Verenigde Staten. Door de uitspraak van het hof mogen bedrijven in de EU op grond van het Privacy Shield-verdrag geen persoonsgegevens meer aan de VS doorgeven.

De European Data Protection Board (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG), waaronder ook de AP, heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Het gaat hierbij om landen waar persoonsgegevens minder goed beschermd zijn dan in de EU.

Volgens de EDPB is de meest praktische oplossing voor de doorgifte van persoonsgegevens het gebruik van modelcontracten. "Maar dat mag in de meeste gevallen alléén als een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen", aldus de Autoriteit Persoonsgegevens. Aanvullende maatregelen zijn bijvoorbeeld encryptie en pseudonimisering.

Per geval zullen bedrijven moeten kijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen. Het zal echter niet altijd mogelijk zijn om aanvullende maatregelen te treffen. Het gaat dan bijvoorbeeld om landen die privacy en andere grondrechten onvoldoende beschermen. Bedrijven die in dergelijke landen persoonsgegevens opslaan zijn nog steeds verantwoordelijk dat dit veilig gebeurt.

Bij twijfel adviseert de Autoriteit Persoonsgegevens dan ook om data in de EU te houden. "Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU."

Reacties (2)
13-11-2020, 14:43 door Anoniem
Het is zeker de moeite waard om de aanbevelingen eens door te lezen. De EDPB is vrij helder: er is vrijwel geen mogelijkheid om door te gaan met het verwerken van persoonsgegevens bij Amerikaanse cloud providers. (Nadruk van mij.)

The CJEU held, for example, that Section 702 of the U.S.FISA does not respect the minimum safeguards resulting from the principle of proportionality under EU law and cannot be regarded as limited to what is strictly necessary. This means that the level of protection of the programs authorised by 702 FISA is not essentially equivalent to the safeguards required under EU law. As a consequence, if the data importer or any further recipient to which the data importer may disclose the data falls under 702 FISA, SCCs or other Article 46 GDPR transfer tools may only be relied upon for such transfer if additional supplementary technical measures make access to the data transferred impossible or ineffective.

Use Case 6: Transfer to cloud services providers or other processors which require access to data in the clear
A data exporter uses a cloud service provider or other processor to have personal data processed according to its instructions in a third country. If
1. a controller transfers data to a cloud service provider or other processor,
2.the cloud service provider or other processor needs access to the data in the clear in order to execute the task assigned, and
3.the power granted to public authorities of the recipient country to access the transferred data goes beyond what is necessary and proportionate in a democratic society,
then the EDPB is, considering the current state of the art, incapable of envisioning an effective technical measure to prevent that access from infringing on data subject rights. The EDPB does not rule out that further technological development may offer measures that achieve the intended business purposes, without requiring access in the clear.
18-11-2020, 13:33 door Anoniem
wil dit nu zeggen dat Microsoft, Apple, google en amazon geen datacenters meer mogen hebben in de EU? want het zijn amerikaanse bedrijven die al geen beste privacy reputatie hebben en data ook gewoon doorsturen naar amerika. Implementatie van eigen europese datacenters is een betere garantie en we houden ook het verdiende geld in europa mits dat natuurijk niet via allerlei belastingsconstructies toch niet gebeurt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.