Het Europees Hof van Justitie heeft onlangs een belangrijke uitspraak gedaan over de doorgifte van gegevens tussen de EU en de VS. Dit besluit was verrassend, zowel wegens de gevolgen ervan als wegens het ontbreken van een "respijtperiode" voor de ondernemingen om zich aan te passen. Laten we de situatie ontcijferen.
Een drastische beslissing
De beslissing van het Europees Hof van Justitie maakt een einde aan het Privacy Shield. Dankzij deze overeenkomst konden Europese bedrijven persoonsgegevens doorgeven aan Amerikaanse bedrijven of servers zonder dat deze doorgifte in strijd was met de GDPR. Het hoogste Europese gerechtshof werd aangezocht door een Oostenrijkse advocaat die bezorgd was over gegevensbescherming en de bevoegdheden van de Amerikaanse regering om Amerikaanse bedrijven te dwingen hun servers open te stellen. Na onderzoek van de situatie oordeelt het Hof dat de door de wetgever aan de regering van de VS toegekende bevoegdheden haar toestaan om toegang te krijgen tot persoonsgegevens of deze vast te leggen door automatisch de gegevensstromen vanuit Europa te onderzoeken.
Wat zijn de concrete gevolgen van dit besluit?
- Het Privacy Shield is dood. Het is dus niet langer mogelijk om op grond van deze overeenkomst persoonsgegevens door te geven aan bedrijven in de VS, aangezien deze overeenkomst is opgezegd.
- Contractuele clausules in de palliatieve zorg. Hoewel de door de Europese Commissie voorgestelde clausules voor derde landen op veel landen kunnen worden toegepast, is dit niet het geval voor de VS. De voorwaarden voor de toepassing ervan zijn namelijk niet aanwezig in de VS, in tegenstelling tot wat de grote Amerikaanse spelers in de sector beweren. De toegang tot gegevens door de Amerikaanse regering maakt het gebruik van deze clausules immers onuitvoerbaar.
- Toestemming is onmogelijk! In theorie kan een bedrijf gebruikers vragen in te stemmen met gegevensverwerking. Maar in sommige gevallen is toestemming niet gratis: hoeveel speelruimte heeft een werknemer om te weigeren dat zijn of haar werkgever een account aanmaakt met Gmail of Microsoft Office? En zelfs als toestemming mogelijk was, hoe leg je dan aan potentiële gebruikers uit dat zij ermee instemmen dat hun gegevens door de Amerikaanse autoriteiten worden onderzocht om de nationale veiligheid van de VS te waarborgen, en hoe leg je uit wat die regering daarmee zal doen?
- Gegevensencryptie is geen 100% veilige oplossing. In theorie zou het versleutelen van gegevens van eind tot eind (van de computers of servers van het bedrijf tot de servers in de VS) voldoende veiligheidsgaranties kunnen bieden. Bedrijven die deze oplossing gebruiken, moeten echter zeer voorzichtig zijn. De Amerikaanse autoriteiten behouden immers hun toezichtsrechten. De encryptie zou daarom extreem sterk moeten zijn en de Amerikaanse autoriteiten zouden geen manier hebben om de sleutels te bemachtigen. Maar iedereen weet dat absolute veiligheid niet bestaat, zelfs niet in theorie.
- Amerikaanse ondernemingen kunnen derhalve niet langer verwerkers zijn in het kader van de RGPD. Zij konden zich namelijk niet verbinden tot de RGPD, zelfs als zij dat wilden, vanwege de Amerikaanse wetten. Daarom kunnen wij hen niet langer als verwerkers kiezen.
Wat zijn de praktische gevolgen?
- Bedrijven moeten stoppen met het doorgeven van gegevens aan Amerikaanse bedrijven.
- Helaas hebben wij in Europa geen equivalenten van alle Amerikaanse dienstverleners.
- Er wordt een aanzienlijke werklast gelegd op de schouders van de ondernemingen en hun functionarissen voor gegevensbescherming, zonder dat de Europese of nationale autoriteiten in staat zijn hun een praktische oplossing te bieden.
- Zullen de Amerikaanse autoriteiten hun veiligheids- en controleregels versoepelen? Het valt te betwijfelen, tenzij de Amerikaanse reuzen van de sector hun doel bereiken via een van die gigantische lobby-inspanningen waar zij zo goed in zijn. Maar daar, net als hier, is een evenwicht tussen veiligheid en privacy essentieel.
Kortom, het is een beetje een puinhoop op het moment. Men kan hopen dat de Europese autoriteiten niet onmiddellijk sancties zullen opleggen, maar niets is in dit stadium zeker.
Ons advies:
Bekijk onmiddellijk al uw contracten met uw DPO of raadsman over gegevensoverdracht aan Amerikaanse bedrijven.
Wil je meer weten?
Bent u op zoek naar een kant-en-klare oplossing voor uw RGPD-beheer?
Neem contact met ons op voor meer informatie over onze oplossing en de toepassingen ervan.