Natuurlijk wilt u dat uw bedrijf goed bekend staat. Een goede reputatie is uw grootste goed als ondernemer. Door privacy in uw onderneming op orde te hebben en – bovendien – te anticiperen op toekomstige wetgeving, kunt u het verschil maken ten opzichte van uw concurrenten.
Er is nogal wat te doen over de export van persoonsgegevens naar de VS. Dat heeft ermee te maken dat de VS onvoldoende beschermingsniveau biedt voor de verwerking van persoonsgegevens. De inlichtingen- en veiligheidsdiensten in de VS hebben bijvoorbeeld het recht om gegevens van Europese betrokkenen in te zien en te gebruiken. Dit recht is ook niet beperkt tot de strikt noodzakelijke gegevens. Het beveiligingsniveau in de VS is “niet adequaat” en toch worden er met regelmaat persoonsgegevens naar het land geëxporteerd. Er is geen eenduidige manier waarop het niveau van bescherming “essentially equivalent” is aan de garanties binnen de Europese Unie. Zeker nu de Privacy Shield sinds juli dit jaar niet langer geldig is. Maatwerk is in dat geval dus geboden.
Organiseert u een export van gegevens op een veilige manier, dan zou dat zomaar eens een groot voordeel kunnen zijn ten opzichte van uw concurrent. Wij helpen u daar natuurlijk graag bij. Om te beginnen, vatten wij hieronder de zes stappen samen van het proces waarmee u kunt beoordelen of en welke aanvullende maatregelen voor een eventuele export nodig zijn. Deze stappen zijn recent door het Europees Comité voor gegevensbescherming (European Data Protection Board oftewel het “EDPB”) opgesteld en liggen momenteel “ter consultatie” voor aan de praktijk.
Een uitermate belangrijke stap in het proces is het in kaart brengen van de verwerkingen die uw organisatie doet, zowel als verwerker alsook als verwerkingsverantwoordelijke. Alleen dan kan worden beoordeeld of er export van gegevens naar een derde land plaatsvindt en dus ook of er mogelijk aanvullende maatregelen nodig zijn. Zorg er tevens voor dat de export van gegevens adequaat is, relevant voor de verwerking en beperkt tot wat daadwerkelijk nodig is in relatie tot het doel van de verwerking in het derde land.
Wanneer het land van bestemming een “adequaat niveau van gegevensbescherming” biedt, dan zijn aanvullende maatregelen waarschijnlijk niet nodig. Een zogeheten adequaatheidsbeslissing wordt genomen door de Europese Commissie. Is dat niet het geval, dan zullen er aanvullende waarborgen geboden moeten worden om een gelijkwaardig niveau van gegevensbescherming te bieden bij de export. Doorgifte kan bijvoorbeeld plaatsvinden door de standard contractual clauses (SCC’s) of binding corporate rules (BCR’s). Is echter sprake van een incidentele doorgifte, dan kan bovendien sprake zijn van een uitzondering.
Dit is een voor uw onderneming lastige stap; het controleren van buitenlandse wetgeving. De vraag die moet worden beantwoord, is of er wet- en regelgeving is die het Europese beschermingsniveau voor persoonsgegevens ondermijnt. Er moet onder meer worden gecontroleerd of er toegang is tot de persoonsgegevens door bijvoorbeeld de overheid van dat land en zo ja, onder welke voorwaarden.
Worden er persoonsgegevens geëxporteerd naar een derde land (stap 1), zonder een adequaatheidsbeslissing (stap 2) en is in het land van bestemming geen gelijkwaardig beschermingsniveau (stap 3) voor persoonsgegevens? Dan dienen er aanvullende beschermingsmaatregelen vastgesteld en uitgevoerd te worden. Het EDPB heeft een aantal voorbeelden genoemd. Natuurlijk zijn de te nemen maatregelen afhankelijk van de aard van de gegevens die worden doorgegeven en de “tekorten” in het beschermingsniveau van het land. Het kan zo zijn dat er geen enkele maatregel geschikt is om het tekort op te lossen. In dat geval kan doorgifte niet plaatsvinden.
Na een analyse van bovenstaande stappen en het vaststellen van de maatregelen die bij uw verwerking in het land van bestemming passend zijn, moeten stappen worden doorlopen om een en ander toe te passen. Welke stappen hierin moeten worden doorlopen, is afhankelijk van de ‘transfer tool’ die bij stap 2 passend bleek. Hier kan ook consultatie bij de toezichthouder nodig zijn.
Het EDPB benadrukt dat de gegevensexporteur moet blijven monitoren of de export nog kan plaatsvinden en of het beschermingsniveau nog gelijkwaardig is aan dat van de AVG. Zelfs als er een adequaatheidsbesluit is genomen, is her-evaluatie geboden. De Europese Commissie of het Europese Hof van Justitie van de Europese Unie kunnen deze adequaatheidsbesluiten immers heroverwegen.
Logisch. Dit is voor iedereen nieuwe materie en ook toezichthouders en andere exporteurs staan op het punt invulling te geven aan deze aanbevelingen. Het kan echter wel degelijk in uw voordeel werken om hierin pionier te zijn en als eerste uw gegevensexport juridisch gewaarborgd te hebben. Privacy staat immers hoog in het vaandel, van uw klanten en zeker ook van eventuele eindgebruikers. Het op orde hebben van uw privacy kan dan ook een mooi unique selling point zijn.
Heeft u behoefte aan begeleiding, dan zijn wij graag uw gesprekspartner bij het doorlopen van dit stappenplan. Wij denken graag met u mee over de mogelijkheden voor uw export.