Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!
Schrems-II is niet de dubbelganger van de Oostenrijkse privacyactivist Max Schrems en het is ook niet de naam van zijn kind. Het is de naam van zijn tweede overwinning begin deze zomer bij het Europees Hof van Justitie. We schreven er toen al een blog over want de gevolgen van dit arrest zijn enorm voor gegevensexport naar het buitenland.
Er werd geen gratieperiode toegekend waardoor elke onderneming die gegevens naar een derde land exporteert meteen zijn zaken op orde moet stellen. Schrems kende zichzelf ook geen rustperiode toe, maar legde al meteen 101 klachten neer bij diverse gegevensbeschermingsautoriteiten in de EU. Ook Belgische ondernemingen zijn niet gespaard gebleven: tegen bpost.be, neckermann.be, logic-immo.be en flair.be werd al een klacht neergelegd.
Dit is dus geen ver-van-je-bed-show, je exporteert gegevens naar de VS voor je het weet. Talloze frequent gebruikte tools zoals Google Analytics, Hubspot, Sharpspring, Facebook, Twitter exporteren data naar de VS, dus quasi elke onderneming in België is geïmpacteerd.
Recent gaf een Duitse gegevensbeschermingsautoriteit (van Baden-Württemberg) als eerste meer concrete richtlijnen over hoe het leven verder gaat na het Schrems-II arrest. We hebben deze richtlijnen grondig bestudeerd en geven hier de belangrijkste bevindingen voor je weer in een aantal stappen. Op deze pagina kan je een template van een brief downloaden die je kan gebruiken in je communicatie naar derden.
Als je al een dataregister hebt, is dit een eenvoudige stap voor jou en kan je ineens naar de volgende stap gaan. Is het woord ‘dataregister’ chinees voor jou, dan leggen we dit graag even uit.
De Algemene Verordening Gegevensbescherming (AVG of GDPR) legt aan elke verwerkingsverantwoordelijke de verplichting op om alle verwerkingsactiviteiten vast te leggen die onder haar verantwoordelijkheid plaatsvinden. Concreet breng je in zo’n dataregister een aantal zaken in kaart voor alle gegevens die je verzamelt: de doeleinden, de middelen, de rechtsgrond, de risico’s voor de privacy van de betrokkenen, de toegang tot die gegevens, de doorgifte aan derden, … Zo krijg je een overzicht van alle datastromen binnen de onderneming. Dit vereenvoudigt de eventuele controles en audits aanzienlijk.
Je kan hiervoor gebruik maken van een aantal kwalitatieve vragenlijsten of evaluatietools, maar uiteraard kan Sirius legal je hierbij gespecialiseerde ondersteuning bieden.
Je doet er goed aan om al je contractpartijen, dienstverleners en dergelijke te informeren over het Schrems-II arrest en de gevolgen hiervan. Download hiervoor de standaard brief template met een Data Exhange Vendor Assessment.
Met ‘derde land’ bedoelen we niet elk ander land dan je eigen land, maar wel elk land dat buiten de Europese Economische Ruimte ligt, dat is de EU uitgebreid met Noorwegen, Ijsland en Liechtenstein.
Voor sommige derde landen heeft de Europese Commissie beslist dat dit land een passend beschermingsniveau biedt (‘een adequaatheidsbesluit’), dus kan je de gegevensexport naar die landen op basis van die beslissing doen. De volledige lijst van die landen kan je op de website van de Europese Commissie vinden. Momenteel zijn er onderhandelingen bezig met Zuid Korea. We volgen dit uiteraard op en houden je via onze blog en sociale media continu op de hoogte over eventuele wijzigingen.
Wanneer er sprake is van gegevensexport naar een derde land waar geen beslissing over een passend beschermingsniveau is, dan komen we bij de volgende stap. De gegevensbeschermingsautoriteit van Baden-Württemberg raadt in dat geval aan om de juridische situatie van dat derde land grondig te onderzoeken. Het is in dit kader vooral interessant om na te gaan of nationale veiligheidsinstanties toegang kunnen krijgen tot de geëxporteerde gegevens.
Je kan hiervoor ten rade gaan bij je nationale gegevensbeschermingsautoriteit (in België is dat de GBA, in Nederland de AP, in Frankrijk de CNIL en in Engeland de ICO), de Europese Commissie, de EDPB, het nationaal ministerie van buitenlandse zaken, …
We begrijpen maar al te goed dat dit een ingewikkeld en tijdsintensief karwei is. Sirius Legal beschikt over een omvangrijk netwerk van buitenlandse advocaten gespecialiseerd in deze materies. Zo kunnen we voor bijna elk derde land onze eigen ‘gepastheidsbeoordeling’ maken.
Nu je op de hoogte bent van de juridische situatie in het derde land is het tijd om te beoordelen of de standaard contractuele clausules (SCCs) volstaan. Deze zijn in het leven geroepen door de Europese Commissie voor gegevensexport naar derde landen. Het zijn overeenkomsten die je kan sluiten de verwerkingsverantwoordelijke of verwerker in dat derde land. Als er geen problemen werden gevonden in de bovenstaande stap, dan kan je deze SCCs zonder meer gebruiken. Hou wel in het achterhoofd dat de Europese Commissie deze SCCs aan het herzien zijn. Als de SCCs niet volstaan, ga dan naar de volgende stap.
De gegevensbeschermingsautoriteit van Baden-Württemberg stelt een aantal aanvullende garanties voor. Ten eerste de encryptie (versleuteling) van de gegevens aan jouw kant. Zorg er in dat geval voor dat jij als exporteur de enige bent met de ‘sleutel’ om de gegevens te ontcijferen en dat de encryptie niet zomaar kan worden ontsleuteld. We nodigen je uit om het artikel “Is encryptie verplicht onder GDPR” te lezen als je meer wil weten over encryptie.
Ten tweede de anonimisering of pseudonimisering van de gegevens aan jouw kant. Zo zorg je ervoor dat de ontvanger van de gegevens niet zomaar kan weten over wie het nu werkelijk gaat. Denk eraan dat dit proces vaak al begint voor je de gegevens nog maar ingeeft of ergens uploadt.
Vervolgens stelt de gegevensbeschermingsautoriteit van Baden-Württemberg een aantal concrete aanpassingen en aanvullingen voor op de SCC’s:
Het is mogelijk dat alle bovenstaande maatregelen ofwel niet mogelijk zijn ofwel nog steeds onvoldoende waarborgen bieden. In dat geval vermeldt de gegevensbeschermingsautoriteit van Baden-Württemberg dat er nog een alternatieve optie bestaat, maar dat deze alternatieven heel strikt geïnterpreteerd worden en dus weinig aanvaard als reden om gegevens te exporteren naar een derde land. Hieronder valt bijvoorbeeld de mogelijkheid om de toestemming van de betrokkene te vragen voor de gegevensexport. Deze toestemming moet wel voldoen aan alle vereisten van de GDPR. M.a.w. de toestemming moet vrij zijn, specifiek, geïnformeerd en ondubbelzinnig.
Als al het bovenstaande niet heeft mogen baten is het allicht veiliger om de samenwerking met de partner te stoppen.
Deze pagina en onze blogpost over het Schrems-II arrest zou je al een heel eind op weg moeten helpen. Er komen vast nog een aantal adviezen, richtlijnen en dergelijke aan van andere gegevensbeschermingsautoriteiten die meer duidelijkheid bieden. Wij volgen deze uiteraard steeds op en informeren je hierover op onze blog en sociale media. Voorlopig kan je alvast met de volgende stappen aan het werk gaan:
Stap 1: raadpleeg je dataregister/ stel een dataregister op
Stap 2: informeer je dienstverleners/ contractpartijen
Stap 3: ga na of er beslissing over het passend beschermingsniveau is
Stap 4: beoordeel de juridische situatie
Stap 5: ga na of SCCs volstaan
Stap 6: zo niet, creëer aanvullende garanties en sluit aangepaste SCCs
Stap 7: de gegevensexport stoppen/ alternatief
Download via het formulier de template van een brief met Data Export Impact Assessment die je kan gebruiken in je communicatie naar derden in landen buiten de EER. Loop je ergens vast, aarzel niet ons te contacteren!
"*" indicates required fields