Wat te doen na het einde van het Privacy Shield? Vertrouw niet te veel op Europa...

U zult zich herinneren dat het privacyschild, de overeenkomst die de doorgifte van persoonsgegevens tussen Europa en de VS mogelijk maakte, door het Europees Hof van Justitie nietig is verklaard. Kort daarna kondigde het Europees Comité voor gegevensbescherming (EDPB), de Europese autoriteit die de nationale autoriteiten voor gegevensbescherming groepeert, aan dat dit besluit onmiddellijk van toepassing was en dat er geen respijtperiode zou zijn.

Als gevolg daarvan is het gebruik van hulpmiddelen zoals Google-advertenties, Facebook-advertenties, videoconferentietools zoals Zoom of Teams, enz. volledig verboden. Het is duidelijk dat dit besluit belangrijke gevolgen heeft voor Europese ondernemingen.

Aangezien het Privacy Shield een overeenkomst is waarover Europa en de VS hebben onderhandeld, was het logisch dat iedereen een reactie van de Europese autoriteiten verwachtte. Het Europees Parlement heeft op 3 september een "hoorzitting" over dit onderwerp georganiseerd in aanwezigheid van Europees Commissaris Didier Reynders en de Oostenrijkse advocaat Max Schrems, die niet alleen de procedure tot opheffing van het Privacy Shield heeft ingeleid, maar via zijn organisatie NOYB ook al een klacht heeft ingediend tegen 101 Europese bedrijven die gegevens naar de VS zijn blijven sturen.

Deze vergadering heeft ons verschillende gegevens opgeleverd, die wij zullen analyseren:

• De Europese Commissie zal met het Europees Comité voor gegevensbescherming (EDPB) samenwerken om een "passende reactie" te geven.
• De Commissie zal zich met drie aspecten bezighouden
  • Maak richtlijnen voor zaken. Dit is inderdaad waar alle Europese bedrijven op zitten te wachten
  • Modernisering van de "standaardclausules" die internationale overmakingen mogelijk maken. In september zou een eerste versie moeten worden voorgesteld, die eind 2020 zou moeten worden aangenomen. Dit is een goed idee, vooral omdat deze clausules dateren van vóór de RGPD. Maar laten we niet vergeten dat het Hof van Justitie heeft bepaald dat deze clausules niet kunnen worden gebruikt voor overdrachten naar de VS. En om deze clausules te kunnen aannemen is de instemming van de EDPB en de lidstaten vereist.
  • Samenwerken met de VS aan een "potentieel verbeterd kader" voor overdrachten tussen de EU en de VS. In lekentaal, we zijn in voor vele maanden, zo niet jaren van onderhandelingen. De Europese Commissaris herinnerde eraan dat voor het resultaat van deze onderhandelingen een wetswijziging in de VS nodig is en dat de presidentsverkiezingen dit niet zullen vergemakkelijken.
• Met betrekking tot de 101 klachten die zijn ingediend door de organisatie Max Schrems (NOYB), heeft de EDPB een task force ingesteld om ervoor te zorgen dat de nationale autoriteiten die belast zijn met deze klachten een gemeenschappelijke aanpak hebben. Deze coördinatie is ook een verzoek van de gegevensbeschermingssector. Het feit dat de RGPD een verordening is met dezelfde tekst voor alle lidstaten, maakt Europese eenvormigheid mogelijk, maar jurisprudentie van verschillende autoriteiten die te verschillend is, zou deze eenvormigheid tot nul reduceren.
• De EDPB heeft aangekondigd dat zij zal werken aan richtsnoeren voor gegevensoverdrachten buiten Europa. Dit is een goed initiatief, maar het is niet zeker dat het de kwestie van de overdrachten tussen de EU en de VS zal oplossen.

Uit ervaring weten wij dat het Europese besluitvormingsproces traag is en dat wat wij op 3/9/2020 hebben vernomen, geen oplossingen biedt voor bedrijven met betrekking tot gegevensoverdracht aan bedrijven in de VS. Overdrachten zijn nu verboden, wat veel praktische problemen oplevert voor Europese organisaties, zowel grote als kleine.

Ik kan bedrijven, en met name de duizenden klanten van GDPRfolder , alleen maar adviseren om bestaande contracten te controleren, na te gaan welke contracten toestaan dat gegevens naar bedrijven in de VS worden gestuurd en te zien of er alternatieven zijn.

Wordt vervolgd...