In onze geconnecteerde wereld komen de persoonsgegevens waarmee uw onderneming werkt veel sneller in het buitenland terecht dan u denkt en dat is niet zonder gevaar. Denk aan Cloud-toepassingen die u in uw onderneming gebruikt of de dienstverleners die u toegang geeft tot persoonsgegevens van uw werknemers of klanten.
Uw onderneming mag persoonsgegevens niet zomaar doorsturen naar een land buiten de Europese Economische Ruimte. Dat mag inderdaad alleen als de persoonsgegevens daar beschermd worden op een manier die gelijkwaardig is met de regels van de AVG de zogenaamde “GDPR”). Hetzelfde geldt wanneer de gegevens – zonder doorgestuurd te worden – toegankelijk zijn van buiten de EER.
Voor bepaalde landen heeft de Europese Commissie met een adequaatheidsbesluit beslist dat de persoonsgegevens in die landen afdoende beschermd zijn. Dat was sinds 2016 zo voor de Verenigde Staten, op basis van het EU‑US Privacy Shield: persoonsgegevens mochten doorgestuurd worden naar ondernemingen in de Verenigde Staten die zich onder het Privacy Shield hadden laten certifiëren.
In juli vernietigde het Hof van Justitie deze regeling voor persoonsgegevens die naar de Verenigde Staten worden doorgegeven (Schrems II-arrest van 16 juli 2020).
Wat moet u doen?
- Ga na waar persoonsgegevens zich binnen of buiten uw onderneming bevinden.
- Stuur geen persoonsgegevens meer door naar (groepsvennootschappen, dienstverleners enz. in) de Verenigde Staten voor u een alternatief hebt voor het Privacy Shield.
- Onderzoek welke waarborgen u als alternatief voor het Privacy Shield kan gebruiken, zoals technische oplossingen, standaardcontractbepalingen of binding corporate rules.
- Herzie uw overeenkomsten als ze in een doorgifte van persoonsgegevens voorzien op basis van het Privacy Shield.
- Pas uw privacyverklaring aan indien deze verwijst naar of steunt op het Privacy Shield.
Het Europees Comité Gegevensbescherming heeft ondertussen een document gepubliceerd met veelgestelde vragen over het arrest ("FAQ”). Uiteraard staan wij ook klaar om u te helpen met de vragen die u hierover zou hebben en met de stappen die u kan zetten om het risico op – potentieel torenhoge – boetes te ontmijnen.