Vragen van de Zweedse toezichthouder

De organisaties wordt gevraagd 26 vragen te beantwoorden, waaronder:

  1. Kunt u aangeven met welke organisaties (juridische entiteiten) gegevens worden gedeeld nu u Google Analytics heeft ge-embed op uw website?
  2. In welke landen worden persoonsgegevens verwerkt?
  3. Hoe heeft u ervoor gezorgd dat de derde partijen (Google, Facebook) de gegevens niet voor eigen doeleinden verwerken? Als dit is opgenomen in een overeenkomst of algemene voorwaarden kunt u de exacte onderdelen dan specificeren?
  4. Als u persoonsgegevens doorgeeft aan deze organisaties, hoe waarborgt u een passend beschermingsniveau en hoe heeft u betrokkenen over de doorgifte geïnformeerd?
  5. Heeft u ten aanzien van de lokale wetgeving van deze derde landen beoordeeld of zij de Europese privacywetgeving naleven? Zo ja, welke waarborgen heeft u geïmplementeerd om naleving te waarborgen?

Aanleiding: Privacy Shield ongeldig verklaard

In augustus vorig jaar heeft het Europese Hof van Justitie het Privacy Shield tussen de Europese Unie en de Verenigde Staten ongeldig verklaard. De data van inwoners van de EU wordt in de Verenigde Staten onvoldoende beschermd. Dat betekende dat doorgifte van persoonsgegevens aan Amerikaanse organisaties zoals Facebook en Google onrechtmatig is, tenzij aanvullende waarborgen worden getroffen. Die aanvullende waarborgen zijn onder meer het sluiten van standard contractual clauses (SCC’s), standaardovereenkomsten waarin de contractpartijen zich verplichten de Europese privacywetgeving na te leven. De Amerikaanse leveranciers geven allemaal aan deze contracten te hebben. Daarnaast moet een organisatie een analyse maken of de afspraken ook wel nageleefd kunnen worden als je kijkt naar het rechtssysteem van het land waarin de dienstverlener is gevestigd.

Gebruik Amerikaanse dienstverleners onder druk

Al eerder klaagde privacy activist Max Schrems bedrijven aan vanwege hun gebruik van Google Analytics en Facebook Connect. Ook oordeelde de Beierse toezichthouder dat het gebruik van Mailchimp een voertreding van de AVG inhoudt. En voorlopig hoeven we vanuit Europa geen oplossing te verwachten. De vraag is wat je als Europese organisatie kunt doen. Kunnen Amerikaanse dienstverleners echt het beschermingsniveau van de SCC garanderen en de Amerikaanse inlichtingendiensten buiten de deur houden? Dat blijkt iedere keer toch het grote struikelpunt. En dat blijft waarschijnlijk nog wel even.

Wat kunt u nu doen?

Organisaties moeten dus sowieso nadenken over welke data zij waar op willen slaan. Een e-mailadres voor de nieuwsbrief is natuurlijk wel iets anders dan de gegevens van leden van een patiëntenvereniging. Bij de laatste categorie wilt u wellicht kijken naar Europese aanbieders. Maar er zijn ook extra waarborgen die u kunt treffen bij Amerikaanse bedrijven. Sommige Amerikaanse leveranciers bieden de mogelijkheid om data op te slaan op Europese servers, als deze mogelijkheid er is, zou u die altijd moeten aangrijpen. Ook is het voor sommige diensten mogelijk om data encrypted op te slaan. Ook dit is een goede extra beveiligingsmaatregel.

Heeft u vragen naar aanleiding van dit artikel? Neem dan contact met ons op.