Privacy shield: het VS-EU Privacy schild
Sinds 2016 zijn er nieuwe afspraken gemaakt tussen de EU en de VS over de doorgifte van data van Europeanen naar de VS. Deze afspraken staan in een framework dat Privacy Shield wordt genoemd. In dit artikel leggen onze privacyrecht advocaten kort iets uit over dit onderwerp.
Safe Harbor Privacy Shield is de opvolger van Safe Harbor, het vorige framework van afspraken over doorgifte van persoonsgegevens. De Europese rechter heeft echter een streep gezet door Safe Harbor nadat Max Schrems een rechtszaak was gestart tegen Facebook. De Europese rechter vond dat Safe Harbor niet voldoende waarborgen bood voor bescherming van onze data in de VS.
Doorgifte van persoonsgegevens Volgens de Europese privacyregels mogen persoonsgegevens van Europeanen alleen buiten de EU worden verwerkt als het land voldoende adequate bescherming biedt voor de persoonsgegevens. Deze bescherming geldt tegen overheden en bedrijven. Zo mogen persoonsgegevens alleen voor een bepaald doel gebruikt worden volgens de Europese regels. Niet in alle landen vindt de overheid privacy een belangrijk onderwerp. Daarom wordt het beschermingsniveau van derdelanden getoetst aan onze Europese regels. Volgens Europa biedt de VS niet voldoende bescherming. Dat heeft onder meer te maken met de bemoeienis en de bevoegdheden van de Amerikaanse overheid. Om ervoor te zorgen dat doorgifte van persoonsgegevens naar de VS toch mogelijk is, is het nodig om afspraken te maken. Voor onze economie is het erg belangrijk dat de handel met de VS niet wordt gehinderd door deze onvoldoende bescherming van persoonsgegevens. Er zijn immers veel grote Europese bedrijven waar Europese consumenten mee te maken krijgen. Denk aan Amerikaanse webshops waar je als Europeaan een bestelling plaatst. Deze afspraken staan in Privacy Shield.
Wat houdt Privacy Shield in? Privacy Shield is een framework van afspraken. Net als bij Safe Harbor werkt het met zelfcertificering. Amerikaanse bedrijven dienen zich te houden aan bepaalde regels en kunnen vervolgens het predikaat 'Privacy Shield proof' dragen. Dit is gelijk ook één van de kritiekpunten op het framework, tegenstanders vinden dat er meer toezicht zou moeten komen op naleving van de regels.
Bewerkersovereenkomst Of u nu een ICT-dienstverlener of salarisadministrateur inschakelt uit de VS, uit Nederland of een andere Europees land, u zult uw afspraken over onder meer bescherming van de data moeten vastleggen in een bewerkersovereenkomst. Meer hierover vindt u hier. Let op: in 2018 is de AVG ingevoerd en is de inhoud van deze blog (deels) achterhaald. Neemt u voor actuele informatie contact met ons op.