Ga naar de inhoud
31 augustus 2020 • Nieuws

Privacy Shield ongeldig: wat kunt u doen?

Nu het Privacy Shield ongeldig is verklaard, zijn veel organisaties zoekende wat ze nu wel of juist niet moeten doen. Veel bedrijven werken met Amerikaanse leveranciers. Om nu rigoureus alle samenwerkingen te stoppen, is een kostbare en soms onmogelijke opgave. Daarom vier praktische acties die uĀ  nu kunt ondernemen om straks compliant te zijn.

Privacy_ssl-2890762_1920
  1. Inventariseer welke Amerikaanse leveranciers u heeft

Vanuit het verwerkingenregister van de organisatie moet het relatief eenvoudig zijn om te achterhalen van welke Amerikaanse dienstverleners gebruik wordt gemaakt en welke (bedrijfs)processen geraakt worden. Er zou ook informatie in moeten staan over het hebben van een adequate verwerkersovereenkomst of andere afspraken over data privacy (zoals het Privacy Shield).

  1. Onderzoek de mogelijkheid tot het sluiten van een SCC

Een alternatief voor het Shield is om met organisaties buiten de EU een standaard data privacy contract af te sluiten, waarin de organisatie garandeert bepaalde waarborgen te treffen. De Europese Commissie biedt op haar website deze zogenaamde ā€œStandard Contractual Clausesā€ (SCC) aan. Deze contracten zijn in principe nog steeds geldig. Een groot aantal leveranciers heeft deze contractuele bepalingen al opgenomen in de voorwaarden en overeenkomsten.

  1. Maak een inschatting of de leverancier de afspraken uit de SCC kan naleven

Het Hof zegt in de uitspraak over het Privacy Shield dat u ook bij het sluiten van een SCC verplicht bent om na te gaan of de leverancier in dat land de afspraken ook echt kan naleven.Ā  Schrems heeft daarvoor op zijn website een vragenlijst gepubliceerd die u door uw leveranciers in kunt laten vullen. Een groot aantal organisaties heeft zelf al verklaringen gepubliceerd, we zetten er hieronder vast een aantal op een rij.

Salesforce geeft aan dat voor het grootste deel van hun klanten geen verdere actie is vereist nu het Privacy Shield ongeldig is verklaard. Door de ā€˜Salesforce Processor Binding Corporate Rulesā€™ en de SCCā€™s, welke zijn opgenomen in het ā€˜Data Processing Addendumā€™ kunnen organisaties nog steeds gebruik blijven maken van de diensten van Salesforce. Er zijn wel twee uitzonderingen:

  • Klanten die een ouder ā€˜Salesforce Data Processing Addendaā€™ hebben getekend waarin geen referentie is opgenomen naar de ā€˜Salesforce Binding Corporate Rulesā€™ en de SCCā€™s.
  • Klanten die gebruik maken van ā€˜Salesforce Tableau Online servicesā€™.

Voor deze klanten is het van belang dat zij de laatste versie van het ā€˜Data Processing Addendumā€™ ondertekenen en opsturen.

Microsoft stelt dat zij al jaren gebruik maken van een dubbele bescherming, het Privacy Shield en de SCCā€™s. Door het wegvallen van het Privacy Shield zorgen de SCCā€™s ervoor dat organisaties Microsoft kunnen blijven gebruiken.

Google geeft aan per 12 augustus j.l. hun ā€˜Google Ads Data Processing Termsā€™, ā€˜Google Ads Controller-Controller Data Protection Termsā€™ en ā€˜Google Measurement Controller-Controller Data Protection Termsā€™ bijgewerkt te hebben met de relevante SCCā€™s.

Amazon maakt gebruik van SCCā€™s welke zijn opgenomen in het ā€˜AWS GDPR Data Processing Addendumā€™ wat ook onderdeel is van de ā€˜AWS Service Termsā€™. Klanten van Amazon hoeven dus geen extra stappen te ondernemen.

Mailchimp heeft hun ā€˜Data Processing Addendumā€™ bijgewerkt zodat deze voldoet aan de eisen die worden gesteld. Het addendum is opgenomen in de algemene voorwaarden en hoeft niet ondertekend te worden. Wie Mailchimp gebruikt of een nieuw account aanmaakt gaat akkoord met deze voorwaarden.

  1. Kijk naar aanvullende maatregelen

De vraag is natuurlijk of de organisaties echt het beschermingsniveau van de SCC kunnen garanderen en de Amerikaanse inlichtingendiensten buiten de deur kunnen houden. Dat blijkt iedere keer toch het grote struikelpunt. En dat blijft waarschijnlijk nog wel even. Daarom moeten organisaties sowieso nadenken over welke data ze waar op willen slaan. Een e-mailadres voor de nieuwsbrief is natuurlijk wel iets anders dan de gegevens van leden van een patiƫntenvereniging. Bij de laatste categorie wilt u wellicht kijken naar Europese aanbieders. Maar er zijn ook extra waarborgen die u kunt treffen bij Amerikaanse bedrijven. Sommige Amerikaanse leveranciers bieden de mogelijkheid om data op te slaan op Europese servers, als deze mogelijkheid er is, zou u die altijd moeten aangrijpen. Ook is het voor sommige diensten mogelijk om data encrypted op te slaan. Ook dit is een goede extra beveiligingsmaatregel.

Mocht u vragen hebben over dit artikel, neem dan gerust contact met ons op.

Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.

Jitty van Doodewaerd
Jitty van Doodewaerd
Directeur privacy DMCC Group
 E-mail