Magnifying glass Close

Adblocker is geactiveerd!

Op deze website worden advertenties getoond. Van de advertenties wordt de redactie betaald. De redactie verzorgt het nieuws op deze website. Zonder advertenties geen nieuws. Zou je je adblocker daarom willen uitschakelen

Software en IT-oplossingen inkopen bij Amerikaanse partijen? Denk om de privacy!

Tot de zomer van 2020 vertrouwden we allemaal op het Privacy Shield als mechanisme om persoonsgegevens uit te wisselen tussen Europa en de Verenigde Staten. Toen het Privacy Shield nietig werd verklaard ontstond er een groot probleem, dat tot op de dag van vandaag niet is opgelost. In deze column bespreek ik de uitdagingen omtrent privacy bij het afnemen van ICT-oplossingen van Amerikaanse techbedrijven en vertel over de Executive Order, die het Privacy Shield moet opvolgen.

Wat hield het Privacy Shield in?
Volgens de Europese privacyregelgeving mogen binnen de Europese Economische Ruimte (EER) persoonsgegevens probleemloos worden doorgegeven. Iedereen binnen de EER – en dus ook in Nederland – dient zich namelijk te houden aan de regels van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Buiten de EER zijn er landen, waarover de Europese Commissie een adequaatheidsbesluit heeft genomen. De Europese Commissie stelt bij zo’n beslissing vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG. Doorgifte mag dan plaatsvinden zonder dat er verdere waarborgen of machtigingen voor nodig zijn.

Het Privacy Shield was zo’n adequaatheidsbesluit, tot de zomer van 2020.

Waarom werd het Privacy Shield nietig verklaard?
In juli 2020 deed het Europese Hof uitspraak in de zaak Schrems II. Centraal in deze zaak stond de vraag: is het onder de AVG rechtsgeldig om persoonsgegevens door te geven aan de VS? De uitkomst was helder: niet zonder passende waarborgen.

De Amerikaanse inlichtingen- en veiligheidsdiensten hebben namelijk het recht om gegevens van (Europese) burgers in te zien en te gebruiken. Het betreft dan niet alleen de strikt noodzakelijke gegevens, zoals in de EER. Dit is in strijd met de Europese privacywetgeving.

Daarnaast biedt het Amerikaanse ombudsman-mechanisme onvoldoende bescherming aan Europese burgers met een klacht over de verwerking van hun persoonsgegevens in de VS. Betrokkenen hebben ook geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten.

Zolang deze en andere punten in strijd zijn met de Europese privacywetgeving, kunnen we geen persoonsgegevens uitwisselen met de Verenigde Staten zonder passende waarborgen te treffen en daarom werd het Privacy Shield nietig verklaard.

Op welke manier kunt u nog wel rechtsgeldig persoonsgegevens uitwisselen met de VS?
Zolang er geen opvolger van het Privacy Shield is, kunnen bedrijven een modelcontract gebruiken voor de doorgifte van persoonsgegevens naar de VS. Door een modelcontract te gebruiken, hoeven organisaties zo’n contract niet volledig zelf op te stellen en zijn ze verzekerd van een AVG-proof model.

Na de nietigverklaring van het Privacy Shield heeft de Europese Commissie nieuwe modelcontracten opgesteld. Het Hof gaf in de rechtszaak Schrems II namelijk ook aan dat modelcontracten wel een geldige grondslag kunnen bieden voor doorgifte van gegevens naar landen buiten de EER, maar alleen als er een gelijkwaardig beschermingsniveau kan worden gewaarborgd.

Het nieuwe modelcontract bevat daarom onder meer een overzicht van de stappen die bedrijven moeten nemen om te voldoen aan de wet na Schrems II. Passende waarborgen blijven in ieder geval nodig, denk daarbij aan encryptie van persoonsgegevens zonder sleutel in Amerika.  

Komt er een opvolger voor het Privacy Shield?
Daar wordt hard aan gewerkt, maar het is nog altijd wachten op een nieuw adequaatheidsbesluit die het uitwisselen van persoonsgegevens met de VS weer ‘probleemloos’ mogelijk maakt. Op 7 oktober 2022 zette de Amerikaanse president Biden hiervoor een belangrijke stap door de Executive Order voor veilige gegevensuitwisseling te ondertekenen.

Deze Executive Order moet het rechtsgeldige alternatief worden voor het Privacy Shield. Het zal dus de privacy van persoonsgegevens van Europese burgers moeten waarborgen. Op het eerste oog lijkt dit ook te gebeuren. Onder meer door aanvullende waarborgen toe te voegen voor activiteiten van Amerikaanse inlichtingendiensten, waaronder de eis dat dergelijke activiteiten alleen worden uitgevoerd om gedefinieerde nationale veiligheidsdoelstellingen na te streven.

Het punt is alleen dat Max Schrems – die ervoor zorgde dat het Privacy Shield werd nietig verklaard – nu al een negatieve reactie heeft gegeven op deze Executive Order via de door hem opgerichte privacy organisatie NOYB.

Hij meent dat de formulering over de rechten van de Amerikaanse inlichtingendiensten weliswaar is aangepast, maar dat dit niet betekent dat Europa en de VS dezelfde interpretatie hierover hebben. Er zijn namelijk geen aanwijzingen dat de massasurveillance door de VS in de praktijk zal veranderen. Daarnaast heeft hij nog een aantal punten van kritiek, onder meer op het vernieuwde ombusman-mechanisme.

Hoe zit het nu met het inkopen van ICT bij Amerikaanse partijen?
Het lijkt erop dat we nog lang kunnen wachten op een rechtsgeldige opvolger van het Privacy Shield. Tot die tijd is het uitwisselen van persoonsgegevens met Amerikaanse partijen een grote uitdaging. U heeft een modelcontract nodig én moet passende waarborgen treffen. Schakel bij voorkeur een deskundige partij in die een risico assessment uitvoert, zodat een afgewogen en onderbouwde keuze kan worden gemaakt.

Partner van Inkoperscafé:
Partner van Inkoperscafé:

Reacties

Partner van Inkoperscafé:
Sluiten

Inloggen met

of met e-mailadres

Mis niets en ontvang een gratis e-book!

Schrijf je nu in voor de wekelijkse nieuwsbrief. Zo krijg je het laatste inkoopnieuws automatisch in je mailbox en ontvang je het e-book 'ICT-contracten & contract-management: tips, trucs en juridische valkuilen.'