Privacy Shield – the saga continues

11 oktober 2022 | GDPR, Nieuws, Privacy

In de nasleep van Schrems II hebben we er al vaak op gewezen dat de transfer van persoonsgegevens tussen de EU en de US, op zijn minst “problematisch” is te noemen.

Voor (tech)ondernemers viel die boodschap niet steeds in goede aarde, en was er zelfs een zekere “therapeutische hardnekkigheid” waarneembaar die zich vertaalde in “het zal wel zo’n vaart niet lopen”.

Krijgen zij gelijk?

De US aan zet: het Executive Order

Deze stroming van positivisme zal op zijn minst aan kracht toenemen, nu President Biden recent een “executive order” heeft getekend die de implementatie van een nieuw EU/US Data Privacy Framework mogelijk moet maken.

We moeten nochtans opletten niet te snel van stapel te lopen, en de lessen uit het verleden in acht nemen. Deze “executive order” wil immers nog niet zeggen dat er al meteen een nieuw “privacy shield” is, en we opnieuw kunnen overgaan naar business as usual.

Integendeel. Deze stap vormt slechts een onderdeel in een groter spel, waarbij de Amerikaanse overheid probeert tegemoet te komen aan een specifiek bezwaar dat in het Schrems II arrest door het Europese Hof van Justitie werd opgeworpen.

De EU bekijkt een nieuw adequaatheidsbesluit

Het is nu aan de Europese Commissie om te oordelen of deze stappen voldoende zijn om een nieuwe adequaatheidsbeslissing te rechtvaardigen. De Europese Commissie zal hierbij niet over één nacht ijs gaan, en de nodige adviezen inwinnen. De European Data Protection Board heeft daarbij al eerder aangegeven zeer kritisch te werk te gaan.

Een definitieve beslissing is dan ook niet te verwachten in de eerstkomende maanden. En mocht de beslissing positief zijn, dan kan vandaag reeds met grote waarschijnlijkheid gesteld worden dat deze beslissing vanuit privacy-activistische hoek opnieuw zal aangevochten worden voor het Europese Hof van Justitie.

Wat nu? Wat is het risico-perspectief?

We benaderen de GDPR adviesverlening voor onze klanten steeds vanuit een afgewogen risico-perspectief.

De stappen die vandaag gezet worden, betekenen dan ook dat het risico (op non-compliance met de GDPR regels) wellicht een stukje kleiner is geworden. Het risico is echter niet weggenomen!

Integendeel, met de puzzelstukjes die vandaag op tafel liggen, schatten we zowel de waarschijnlijkheid (“de kans dat er iets gebeurt”) als de impact (“wat is dan het gevolg van een incident”) nog steeds als eerder hoog in. De reden daarvoor is het groeiende privacy-bewustzijn, de luide stem van het privacy-activisme, en de duidelijke standpunten tot op vandaag van de toezichthoudende autoriteiten.

Conclusie?

Wil je een foutloze implementatie van de GDPR verplichtingen, ook voor je datastromen naar de US, dan ga je nog steeds een belangrijke afweging moeten maken.

  • Zijn deze datastromen echt noodzakelijk voor me?
  • Zijn er alternatieven beschikbaar die de data binnen de EER houden?
  • En als het echt niet anders kan, en je data gaat naar de US: kan ik de nodige extra contractuele en technische waarborgen inbouwen, en hierover transparant zijn naar de data-subjecten?

Wat betreft die extra waarborgen raden wij het volgende aan:

  • Een uitdrukkelijk schriftelijk engagement van de verwerker om geen persoonsgegevens door te geven aan de Amerikaanse overheid zonder toestemming;
  • de installatie van een verregaand encryptie mechanisme ter garantie dat geen persoonsgegevens zouden doorgegeven worden aan de Amerikaanse overheid. We adviseren dan BYOK / HYOK / KYOK waarbij deze steeds in beheer is van de gegevensverantwoordelijke.

Kan je een extra paar ogen gebruiken omtrent de analyse van de praktijken die je vandaag toepast, en hulp bij de inschatting van het risico? Wil je dit onderbouwen vanuit je transparantieverplichting, of misschien zelfs remediëren? Spreek er over met onze data protection experten via hallo@dejuristen.be !

Geschreven door Kris Seyen, Partner deJuristen

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance