Het EU-VS Privacyschild is ongeldig verklaard: Wat nu?

Bedrijven overal in de wereld hebben het collectieve "Wat nu?" geuit nadat de meest recente privacyovereenkomst tussen de Europese Unie en de VS onlangs werd vernietigd. Toen het hoogste Europese rechtscollege in juli het Privacy Shield Framework tussen de EU en de VS ongeldig verklaarde, herschikte[i] het kaartspel van bekende onbekenden, bekende onbekenden en onbekende onbekenden rond de trans-Atlantische stroom van persoonlijke informatie van klanten en werknemers.

Maar zelfs nu de regels in beweging zijn, lijkt er aan beide zijden van de Atlantische Oceaan geen afname te zijn van de druk van de overheid om aan de regels te voldoen. En de opslag van e-mailgegevens kan bovenaan de lijst van zorgen van bedrijven staan, aangezien dit voor veel organisaties de grootste opslagplaats van persoonlijke informatie is.

De huidige golf van onzekerheid omvat vragen over welke mechanismen nu kunnen worden gebruikt om persoonsgegevens te blijven doorgeven bij ontstentenis van het Privacy Shield. Andere gegevensbeschermingsmaatregelen, zoals door de EU goedgekeurde "modelcontractbepalingen", blijven bijvoorbeeld levensvatbaar, zij het onder strengere voorwaarden en in het licht van mogelijke betwistingen door individuele Europese landen. Bedrijven vragen zich ook af wat de EU en de VS als volgende beleidsmakers zullen onderhandelen en of er een Amerikaans beleid inzake gegevensbescherming zal komen dat het trans-Atlantische vertrouwen in gegevens zou versterken of doen afnemen.

Voor veel bedrijven die met persoonsgegevens van Europeanen omgaan, is het noodzakelijk dat hun eigen partners - derden die gegevens verwerken en leveranciers van clouddiensten die de vereiste beveiligingsmaatregelen daadwerkelijk toepassen - zich aan de regels houden. "Bedrijven die hier doorheen moeten navigeren, moeten zich terdege bewust zijn van wat er wel en niet gebeurt in de activiteiten en toeleveringsketens van hun partners," aldus Mark Bilbe, U.S. Chief of Staff, Mimecast.

Bedrijven moeten er ook voor zorgen dat hun eigen systemen aan de regels voldoen. En zelfs los van de verrassende uitspraak van het EU-privacyschild hebben alle organisaties te maken met een breder landschap van slecht op elkaar afgestemde en voortdurend veranderende beleidsmaatregelen inzake gegevensbescherming in rechtsgebieden over de hele wereld.

Privacy Shield-besluit, in het kort

In 2016 vielen twee gerelateerde ontwikkelingen samen: De goedkeuring door Europa van de General Data Protection Regulation (GDPR) en de EU-VS Privacy Shield-overeenkomst. De GDPR verplicht commerciële organisaties om de persoonlijke gegevens van Europese burgers te beschermen, ook buiten Europa. Het Privacy Shield richt zich op Europese gegevens die worden verwerkt en opgeslagen in de VS, waar Europese beleidsmakers de regels inzake gegevensprivacy als ontoereikend beschouwen, vooral gezien het toezicht op de nationale veiligheid. De regels van verschillende andere landen zijn door de EU als adequaat goedgekeurd. Maar voor de VS moest een aparte regeling worden opgezet. Zo kwam het Privacy Shield in de plaats van het U.S.-EU Safe Harbor Framework, een eerdere overeenkomst inzake gegevensprivacy die in 2015 instortte.

In het kader van het Privacy Shield konden bedrijven jaarlijks zelfcertificeren dat zij zich er publiekelijk toe verbonden bepaalde beginselen voor de bescherming van persoonsgegevens operationeel na te leven, onder voorbehoud van handhaving. Een van deze beginselen is de individuele keuze met betrekking tot het gebruik van persoonsgegevens, wat de aanleiding was voor al die "opt-out"-pop-ups op websites die u bezoekt. Meer dan 5.000 Amerikaanse bedrijven en Amerikaanse dochterondernemingen van Europese bedrijven hebben zichzelf gecertificeerd,[ii] voor zichzelf en voor tienduizenden partner- en klantenorganisaties.[iii]

Maar nu is het Privacy Shield dood - of niet? Laten we eens kijken naar de ontwikkelingen en analyses sinds de uitspraak van juli.

Privacy Shield Toekomst

Bekend: Het Amerikaanse ministerie van Handel heeft duidelijk gemaakt dat bedrijven moeten doorgaan met zelfcertificering.[iv]

Bekende onbekendheid: Waarom doorgaan? In een gezamenlijke verklaring van de VS en de EU zijn besprekingen over een "verbeterd" Privacy Shield toegezegd,[v] en de handel zal het programma blijven beheren terwijl de besprekingen worden voortgezet. Waarnemers hebben echter hun scepsis geuit over de uitkomst van deze besprekingen en over de vraag of een nieuwe regeling de onvermijdelijke juridische uitdagingen kan doorstaan.

EU-VS alternatieven voor gegevensbescherming

Bekende feiten: Alternatieven voor het Privacy Shield zijn onder meer de hierboven vermelde standaardcontractbepalingen en twee andere soorten overeenkomsten: bindende bedrijfsvoorschriften en individuele toestemming. Veel gegevensverwerkers en aanbieders van clouddiensten beheersten het nalevingsrisico al proactief vóór de uitspraak van het Hof, door gebruik te maken van zowel het Privacy Shield als de standaardcontractbepalingen, terwijl anderen nu een inhaalslag maken. De twee andere opties worden beide als moeilijk uitvoerbaar beschouwd. Een ander alternatief is het opzetten van Europese hubs.

Bekende onbekenden: Toen het Hof de standaardcontractclausules handhaafde, verscherpte het ook de vereisten ervan, maar gaf het geen respijtperiode om eraan te voldoen. Vrijwel onmiddellijk daarna leken handhavingsactiviteiten in Ierland de geldigheid van de clausules in twijfel te trekken.[vi] En in ieder geval in Duitsland lieten regelgevers de deur open voor verdere betwistingen.[vii] Een ander vraagteken zweeft boven het VK, waar veel bedrijven van buiten de EU datahubs hebben. Het vertrek van Groot-Brittannië uit de EU staat voor de deur, en Europese ambtenaren hebben vraagtekens geplaatst bij de toereikendheid van de gegevensbescherming van het land.[viii] Ondertussen voorspellen sommige waarnemers dat de Europeanen de clausules, die nu al enkele jaren oud zijn, zullen herschrijven.[ix]

U.S. Privacybeleid

Bekende feiten: In de VS is het beleid inzake gegevensprivacy vooral op het niveau van de staten gevoerd , onder leiding van een GDPR-achtige California Consumer Privacy Act (CCPA), en via sectorale regels, zoals de Health Insurance Portability and Accountability Act van 1996. Er is geen overkoepelende federale dataprivacywet, hoewel er in de loop der jaren wetsvoorstellen zijn ingediend.

Bekende onbekenden: Het staat nog te bezien of federale wetgeving kan worden aangenomen en vervolgens of de nieuwe wet de problemen in verband met de transatlantische gegevensstroom zou verzachten of verergeren. Eén wetsvoorstel dat is ingediend, de Clarifying Lawful Overseas Use of Data Act (CLOUD Act), zou bijvoorbeeld de overzeese servers van Amerikaanse bedrijven aan veiligheidstoezicht onderwerpen.[x] Maar de Consumer Data Privacy and Security Act van 2020[xi] weerspiegelt bepalingen in de GDPR en de CCPA. En er zijn er meer. Wat ook een grote schaduw werpt: de Amerikaanse verkiezingen van 2020.

Hoe blijf je aan de regels voldoen in veranderende tijden?

De beproefde tips voor de huidige en nieuwe uitdagingen op het gebied van privacy compliance omvatten:

• Ken uw gegevens. Bekijk alle gegevenssystemen en -diensten om te begrijpen hoeveel persoonlijke informatie u over Europese burgers verzamelt en opslaat.
• Verzamel en bewaar alleen gegevens die u nodig hebt.
• Maak bekend wat u verzamelt en hoe u van plan bent het te gebruiken.
• Geef personen de kans zich terug te trekken.
• Controleer het beleid en de praktijken van uw providers van gegevensverwerking en clouddiensten, met inbegrip van hun beheer van hun eigen verkopers. Sommige, waaronder Mimecast, publiceren details en privacyovereenkomsten voor gegevens die zij met u ondertekenen.
• Vraag hoe uw leveranciers zich aanpassen aan de laatste wijzigingen in de regelgeving, wanneer deze zich voordoen. Bedenk dat regelgevende instanties u doorgaans verantwoordelijk houden voor de manier waarop uw leveranciers omgaan met de persoonlijke gegevens van uw klanten en werknemers.
• Neem dit alles op in een strategie die ook een inventaris bevat van de gegevensoverdrachten die onder het Privacy Shield vallen, samen met de nalevingsmechanismen die u en uw partners hebben ingesteld.
• Documenteer elke stap, voor nalevingsdoeleinden.

De kern van de zaak

E-mail is niet alleen een communicatieplatform, maar ook een van de grootste opslagplaatsen van persoonlijke informatie waarover een organisatie beschikt. E-mailprivacy is dus een zaak van het hoogste belang. In het kielzog van de verrassende ongeldigverklaring van de EU-privacyschildwetgeving is het ook een bewegend doelwit. Bedrijven moeten overal controle- en noodplannen hebben om zich aan te passen aan de laatste verandering en te anticiperen op de volgende. In de komende weken zullen we schrijven over privacyregels

[i] "Het Hof van Justitie ongeldig verklaart besluit 2016/1250 over de gepastheid van de door het EU-VS-gegevensbeschermingsschild geboden bescherming," Hof van Justitie van de Europese Unie

[ii] "Privacy Shield Lijst," U.S. Department of Commerce

[iii] Brief aan de Amerikaanse minister van Handel Wilbur Ross, van een coalitie van Amerikaanse handelsverenigingen

[iv] "FAQs-EU-U.S. Privacy Shield Program Update," U.S. Department of Commerce

[v] "Gezamenlijke persverklaring van de Amerikaanse minister van Handel Wilbur Ross en de Europese commissaris voor Justitie Didier Reynders," U.S. Department of Commerce

[vi] "Het waarborgen van de stabiliteit op lange termijn van grensoverschrijdende gegevensstromen," Facebook

[vii] "Persbericht van de conferentie van de onafhankelijke toezichthoudende autoriteiten voor gegevensbescherming van de federale en deelstaatregeringen," Duitse gegevensbeschermingsautoriteiten

[viii] Brief aan het Europees Parlement, Europees Comité voor gegevensbescherming

[ix] "Privacy Shield is dood. Wat nu?", Deloitte

[x] "HR 4943-Cloud Act," U.S. Congress

[xi] "S 3456-Consumer Data Privacy and Security Act of 2020," U.S. Congress