
Het Hof van Justitie heeft onlangs een belangrijk besluit genomen over de doorgifte van gegevens tussen Europa en de VS. Deze beslissing verrast zowel door de gevolgen ervan als door het ontbreken van een “grace period” voor bedrijven om zich aan te passen. Laten we de situatie ontcijferen.
Een drastische beslissing
Het besluit van het Europese Hof van Justitie maakt een einde aan het privacy shield. Deze overeenkomst stond Europese bedrijven toe om persoonlijke gegevens door te geven aan Amerikaanse bedrijven of servers zonder dat deze doorgifte in strijd was met de GDPR. De hoogste Europese rechtbank werd aangesproken door een Oostenrijkse advocaat die zich zorgen maakte over de gegevensbescherming en de bevoegdheden van de Amerikaanse regering om Amerikaanse bedrijven te dwingen hun servers voor hen open te stellen. Na onderzoek van de situatie oordeelde het Hof dat de door de wetgever aan de Amerikaanse regering verleende bevoegdheden de Amerikaanse regering inderdaad toestaan om persoonsgegevens te raadplegen, of om deze vast te leggen door automatisch gegevensstromen uit Europa te onderzoeken.
Wat zijn concreet de gevolgen van dit besluit?
- Het Privacy Schield is dood. Het is dus niet langer mogelijk om in het kader van deze overeenkomst persoonsgegevens door te geven aan Amerikaanse bedrijven, aangezien deze overeenkomst is geannuleerd.
- De contractclausules in palliatieve zorg. Hoewel de door de Europese Commissie voorgestelde clausules voor derde landen op veel landen kunnen worden toegepast, is dit niet het geval voor de Verenigde Staten. De voorwaarden voor de toepassing ervan zijn immers niet aanwezig in de Verenigde Staten, in tegenstelling tot wat de grote Amerikaanse spelers in de sector beweren. De toegang tot gegevens door de regering van de VS maakt het gebruik van deze clausules immers ontoepasselijk.
- Toestemming is onmogelijk! In theorie zou een bedrijf gebruikers kunnen vragen om toestemming te geven voor gegevensverwerking. Maar in sommige gevallen is de toestemming niet gratis: welke vrijheid heeft een werknemer om zijn werkgever te weigeren een account aan te maken met behulp van Gmail of Microsoft Office? En zelfs als toestemming mogelijk was, hoe verklaren we dan aan potentiële gebruikers dat zij ermee instemmen dat hun gegevens door de Amerikaanse autoriteiten worden onderzocht om de nationale veiligheid van de VS te waarborgen, en hoe verklaren we dan wat deze regering ermee gaat doen?
- Data-encryptie is geen 100% veilige oplossing. In theorie zou het versleutelen van gegevens van eind tot eind (van de computers of servers van het bedrijf naar servers in de VS) voldoende garanties kunnen bieden voor de veiligheid. Bedrijven die deze oplossing gebruiken, moeten echter zeer voorzichtig zijn. De Amerikaanse autoriteiten behouden inderdaad hun toezicht rechten. De encryptie zou dus extreem sterk moeten zijn en de Amerikaanse autoriteiten zouden geen middelen hebben om de sleutels te verkrijgen. Iedereen weet dat absolute veiligheid niet bestaat, zelfs niet in theorie.
- Amerikaanse bedrijven kunnen dus geen onderaannemers meer zijn in de zin van de GDPR. Zij zouden zich inderdaad niet aan de GDPR kunnen binden, zelfs niet als zij dat wilden, vanwege de Amerikaanse wetten. Daarom kunnen we ze niet meer als onderaannemers kiezen.
Wat zijn de praktische gevolgen?
- Bedrijven moeten alle gegevensoverdrachten naar Amerikaanse bedrijven stopzetten.
- Helaas hebben we in Europa geen equivalenten van alle Amerikaanse dienstverleners.
- Er wordt een aanzienlijke werklast op de schouders van bedrijven en hun DPO’s gelegd zonder dat de Europese of nationale autoriteiten vandaag de dag een praktische oplossing bieden.
- Zullen de Amerikaanse autoriteiten hun veiligheids- en controleregels versoepelen? Het is twijfelachtig, tenzij de Amerikaanse reuzen in de sector hun doelen bereiken via een van de gigantische lobby’s waarvan ze het geheim hebben. Maar daar, net als hier, is een evenwicht tussen veiligheid en privacy essentieel.
Kortom, het is een beetje een puinhoop op dit moment. Het is te hopen dat de Europese autoriteiten niet onmiddellijk sancties zullen nemen, maar niets is in dit stadium zeker.
Ons advies: analyseer onmiddellijk al uw contracten met uw DPO of uw adviseur met betrekking tot gegevensoverdracht naar Amerikaanse bedrijven.
No comment yet, add your voice below!