Privacy Shield ongeldig: wat kunt u doen?

shield-knop op toetsenbord

Nu het Privacy Shield ongeldig is verklaard, zijn veel organisaties zoekende wat ze nu wel of juist niet moeten doen. Veel bedrijven werken met Amerikaanse leveranciers. Om nu rigoureus alle samenwerkingen te stoppen, is een kostbare en soms onmogelijke opgave. Daarom geeft Thuiswinkel.org-business partner DMCC vier praktische acties die je nu kunt ondernemen om straks compliant te zijn.

Inventariseer welke Amerikaanse leveranciers je hebt

Vanuit het verwerkingenregister van de organisatie moet het relatief eenvoudig zijn om te achterhalen van welke Amerikaanse dienstverleners gebruik wordt gemaakt en welke (bedrijfs)processen geraakt worden. Er zou ook informatie in moeten staan over het hebben van een adequate verwerkersovereenkomst of andere afspraken over dataprivacy (zoals het Privacy Shield).

Onderzoek de mogelijkheid tot het sluiten van een SCC

Een alternatief voor het Shield is om met organisaties buiten de EU een standaardcontract voor dataprivacy af te sluiten, waarin de organisatie garandeert bepaalde waarborgen te treffen. De Europese Commissie biedt op haar website deze zogenaamde “Standard Contractual Clauses” (SCC's) aan. Deze contracten zijn in principe nog steeds geldig. Een groot aantal leveranciers heeft deze contractuele bepalingen al opgenomen in de voorwaarden en overeenkomsten.

Maak een inschatting of de leverancier de afspraken uit de SCC kan naleven

Het Hof zegt in de uitspraak over het Privacy Shield dat je ook bij het sluiten van een SCC verplicht bent om na te gaan of de leverancier in dat land de afspraken ook echt kan naleven. Privacyvoorvechter Max Schrems heeft daarvoor op zijn website een vragenlijst gepubliceerd die je door je leveranciers in kunt laten vullen. Een groot aantal organisaties heeft zelf al verklaringen gepubliceerd en wij zetten er hieronder vast een aantal op een rij.

  • Salesforce geeft aan dat voor het grootste deel van hun klanten geen verdere actie is vereist nu het Privacy Shield ongeldig is verklaard. Door de ‘Salesforce Processor Binding Corporate Rules’ en de SCC’s, die zijn opgenomen in het ‘Data Processing Addendum’, kunnen organisaties nog steeds gebruik blijven maken van de diensten van Salesforce. Er zijn wel twee uitzonderingen:
    • Klanten die een ouder ‘Salesforce Data Processing Addenda’ hebben getekend waarin geen referentie is opgenomen naar de ‘Salesforce Binding Corporate Rules’ en de SCC’s.
    • Klanten die gebruikmaken van ‘Salesforce Tableau Online services’.

          Voor deze klanten is het van belang dat zij de laatste versie van het ‘Data Processing Addendum’ ondertekenen en opsturen.

  • Microsoft stelt dat zij al jaren gebruikmaken van een dubbele bescherming: het Privacy Shield en de SCC’s. Door het wegvallen van het Privacy Shield zorgen de SCC’s ervoor dat organisaties Microsoft kunnen blijven gebruiken.
  • Google geeft aan per 12 augustus 2020 hun ‘Google Ads Data Processing Terms’, ‘Google Ads Controller-Controller Data Protection Terms’ en ‘Google Measurement Controller-Controller Data Protection Terms’ bijgewerkt te hebben met de relevante SCC’s.
  • Amazon maakt gebruik van SCC’s die zijn opgenomen in het ‘AWS GDPR Data Processing Addendum’, wat ook onderdeel is van de ‘AWS Service Terms’. Klanten van Amazon hoeven dus geen extra stappen te ondernemen.
  • Mailchimp heeft hun ‘Data Processing Addendum’ bijgewerkt zodat dit voldoet aan de eisen die worden gesteld. Het addendum is opgenomen in de algemene voorwaarden en hoeft niet ondertekend te worden. Wie Mailchimp gebruikt of een nieuw account aanmaakt, gaat akkoord met deze voorwaarden.

Kijk naar aanvullende maatregelen

De vraag is natuurlijk of de organisaties echt het beschermingsniveau van de SCC kunnen garanderen en de Amerikaanse inlichtingendiensten buiten de deur kunnen houden. Dat blijkt iedere keer toch het grote struikelpunt. En dat blijft waarschijnlijk nog wel even. Daarom moeten organisaties sowieso nadenken over welke data ze waar op willen slaan. Een e-mailadres voor de nieuwsbrief is natuurlijk wel iets anders dan de gegevens van leden van een patiëntenvereniging. Bij de laatste categorie wil je wellicht kijken naar Europese aanbieders. Maar er zijn ook extra waarborgen die je kunt treffen bij Amerikaanse bedrijven. Sommige Amerikaanse leveranciers bieden de mogelijkheid om data op te slaan op Europese servers en als deze mogelijkheid er is, zou u die altijd moeten aangrijpen. Ook is het voor sommige diensten mogelijk om data encrypted op te slaan. Ook dit is een goede extra beveiligingsmaatregel.

Meer informatie?

Mocht je vragen hebben over dit artikel of meer informatie willen over dit onderwerp, neem dan gerust contact op Arjen van Eeuwen van DMCC (). Daarnaast staat ons juridische team natuurlijk ook altijd voor je klaar ().