Nu het Privacy Shield ongeldig is verklaard, zijn veel organisaties zoekende wat ze nu wel of juist niet moeten doen. Veel bedrijven werken met Amerikaanse leveranciers. Om nu rigoureus alle samenwerkingen te stoppen, is een kostbare en soms onmogelijke opgave. Daarom vier praktische acties die u nu kunt ondernemen om straks compliant te zijn.
31 augustus 2020 •
Nieuws
Privacy Shield ongeldig: wat kunt u doen?
- Inventariseer welke Amerikaanse leveranciers u heeft
Vanuit het verwerkingenregister van de organisatie moet het relatief eenvoudig zijn om te achterhalen van welke Amerikaanse dienstverleners gebruik wordt gemaakt en welke (bedrijfs)processen geraakt worden. Er zou ook informatie in moeten staan over het hebben van een adequate verwerkersovereenkomst of andere afspraken over data privacy (zoals het Privacy Shield).
- Onderzoek de mogelijkheid tot het sluiten van een SCC
Een alternatief voor het Shield is om met organisaties buiten de EU een standaard data privacy contract af te sluiten, waarin de organisatie garandeert bepaalde waarborgen te treffen. De Europese Commissie biedt op haar website deze zogenaamde “Standard Contractual Clauses” (SCC) aan. Deze contracten zijn in principe nog steeds geldig. Een groot aantal leveranciers heeft deze contractuele bepalingen al opgenomen in de voorwaarden en overeenkomsten.
- Maak een inschatting of de leverancier de afspraken uit de SCC kan naleven
Het Hof zegt in de uitspraak over het Privacy Shield dat u ook bij het sluiten van een SCC verplicht bent om na te gaan of de leverancier in dat land de afspraken ook echt kan naleven. Schrems heeft daarvoor op zijn website een vragenlijst gepubliceerd die u door uw leveranciers in kunt laten vullen. Een groot aantal organisaties heeft zelf al verklaringen gepubliceerd, we zetten er hieronder vast een aantal op een rij.
Salesforce geeft aan dat voor het grootste deel van hun klanten geen verdere actie is vereist nu het Privacy Shield ongeldig is verklaard. Door de ‘Salesforce Processor Binding Corporate Rules’ en de SCC’s, welke zijn opgenomen in het ‘Data Processing Addendum’ kunnen organisaties nog steeds gebruik blijven maken van de diensten van Salesforce. Er zijn wel twee uitzonderingen:
- Klanten die een ouder ‘Salesforce Data Processing Addenda’ hebben getekend waarin geen referentie is opgenomen naar de ‘Salesforce Binding Corporate Rules’ en de SCC’s.
- Klanten die gebruik maken van ‘Salesforce Tableau Online services’.
Voor deze klanten is het van belang dat zij de laatste versie van het ‘Data Processing Addendum’ ondertekenen en opsturen.
Microsoft stelt dat zij al jaren gebruik maken van een dubbele bescherming, het Privacy Shield en de SCC’s. Door het wegvallen van het Privacy Shield zorgen de SCC’s ervoor dat organisaties Microsoft kunnen blijven gebruiken.
Google geeft aan per 12 augustus j.l. hun ‘Google Ads Data Processing Terms’, ‘Google Ads Controller-Controller Data Protection Terms’ en ‘Google Measurement Controller-Controller Data Protection Terms’ bijgewerkt te hebben met de relevante SCC’s.
Amazon maakt gebruik van SCC’s welke zijn opgenomen in het ‘AWS GDPR Data Processing Addendum’ wat ook onderdeel is van de ‘AWS Service Terms’. Klanten van Amazon hoeven dus geen extra stappen te ondernemen.
Mailchimp heeft hun ‘Data Processing Addendum’ bijgewerkt zodat deze voldoet aan de eisen die worden gesteld. Het addendum is opgenomen in de algemene voorwaarden en hoeft niet ondertekend te worden. Wie Mailchimp gebruikt of een nieuw account aanmaakt gaat akkoord met deze voorwaarden.
- Kijk naar aanvullende maatregelen
De vraag is natuurlijk of de organisaties echt het beschermingsniveau van de SCC kunnen garanderen en de Amerikaanse inlichtingendiensten buiten de deur kunnen houden. Dat blijkt iedere keer toch het grote struikelpunt. En dat blijft waarschijnlijk nog wel even. Daarom moeten organisaties sowieso nadenken over welke data ze waar op willen slaan. Een e-mailadres voor de nieuwsbrief is natuurlijk wel iets anders dan de gegevens van leden van een patiëntenvereniging. Bij de laatste categorie wilt u wellicht kijken naar Europese aanbieders. Maar er zijn ook extra waarborgen die u kunt treffen bij Amerikaanse bedrijven. Sommige Amerikaanse leveranciers bieden de mogelijkheid om data op te slaan op Europese servers, als deze mogelijkheid er is, zou u die altijd moeten aangrijpen. Ook is het voor sommige diensten mogelijk om data encrypted op te slaan. Ook dit is een goede extra beveiligingsmaatregel.
Mocht u vragen hebben over dit artikel, neem dan gerust contact met ons op.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
