Schrems-II Template

Gratis

Schrems-II is niet de dubbelganger van de Oostenrijkse privacyactivist Max Schrems en het is ook niet de naam van zijn kind. Het is de naam van zijn tweede overwinning begin deze zomer bij het Europees Hof van Justitie. We schreven er toen al een blog over want de gevolgen van dit arrest zijn enorm voor gegevensexport naar het buitenland.

Er werd geen gratieperiode toegekend waardoor elke onderneming die gegevens naar een derde land exporteert meteen zijn zaken op orde moet stellen. Schrems kende zichzelf ook geen rustperiode toe, maar legde al meteen 101 klachten neer bij diverse gegevensbeschermingsautoriteiten in de EU. Ook Belgische ondernemingen zijn niet gespaard gebleven: tegen bpost.be, neckermann.be, logic-immo.be en flair.be werd al een klacht neergelegd.

Dit is dus geen ver-van-je-bed-show, je exporteert gegevens naar de VS voor je het weet. Talloze frequent gebruikte tools zoals Google Analytics, Hubspot, Sharpspring, Facebook, Twitter exporteren data naar de VS, dus quasi elke onderneming in België is geïmpacteerd.

Recent gaf een Duitse gegevensbeschermingsautoriteit (van Baden-Württemberg) als eerste meer concrete richtlijnen over hoe het leven verder gaat na het Schrems-II arrest. We hebben deze richtlijnen grondig bestudeerd en geven hier de belangrijkste bevindingen voor je weer in een aantal stappen. Op deze pagina kan je een template van een brief downloaden die je kan gebruiken in je communicatie naar derden.

Hoe ga je aan de slag?
  • Stap 1: Maak een inventaris van alle gegevens die je exporteert naar derde landen

    Als je al een dataregister hebt, is dit een eenvoudige stap voor jou en kan je ineens naar de volgende stap gaan. Is het woord ‘dataregister’ chinees voor jou, dan leggen we dit graag even uit.

    De Algemene Verordening Gegevensbescherming (AVG of GDPR) legt aan elke verwerkingsverantwoordelijke de verplichting op om alle verwerkingsactiviteiten vast te leggen die onder haar verantwoordelijkheid plaatsvinden. Concreet breng je in zo’n dataregister een aantal zaken in kaart voor alle gegevens die je verzamelt: de doeleinden, de middelen, de rechtsgrond, de risico’s voor de privacy van de betrokkenen, de toegang tot die gegevens, de doorgifte aan derden, … Zo krijg je een overzicht van alle datastromen binnen de onderneming. Dit vereenvoudigt de eventuele controles en audits aanzienlijk.
    Je kan hiervoor gebruik maken van een aantal kwalitatieve vragenlijsten of evaluatietools, maar uiteraard kan Sirius legal je hierbij gespecialiseerde ondersteuning bieden.

  • Stap 2: Contacteer je dienstverleners/contractpartijen in het derde land

    Je doet er goed aan om al je contractpartijen, dienstverleners en dergelijke te informeren over het Schrems-II arrest en de gevolgen hiervan. Download hiervoor de standaard brief template met een Data Exhange Vendor Assessment

    Met ‘derde land’ bedoelen we niet elk ander land dan je eigen land, maar wel elk land dat buiten de Europese Economische Ruimte ligt, dat is de EU uitgebreid met Noorwegen, Ijsland en Liechtenstein.

  • Stap 3: Ga na of er een beslissing over een passend beschermingsniveau in het derde land is

    Voor sommige derde landen heeft de Europese Commissie beslist dat dit land een passend beschermingsniveau biedt (‘een adequaatheidsbesluit’), dus kan je de gegevensexport naar die landen op basis van die beslissing doen. De volledige lijst van die landen kan je op de website van de Europese Commissie vinden. Momenteel zijn er onderhandelingen bezig met Zuid Korea. We volgen dit uiteraard op en houden je via onze blog en sociale media continu op de hoogte over eventuele wijzigingen.

  • Stap 4: Beoordeel de juridische situatie van het derde land

    Wanneer er sprake is van gegevensexport naar een derde land waar geen beslissing over een passend beschermingsniveau is, dan komen we bij de volgende stap. De gegevensbeschermingsautoriteit van Baden-Württemberg raadt in dat geval aan om de juridische situatie van dat derde land grondig te onderzoeken. Het is in dit kader vooral interessant om na te gaan of nationale veiligheidsinstanties toegang kunnen krijgen tot de geëxporteerde gegevens.

    Je kan hiervoor ten rade gaan bij je nationale gegevensbeschermingsautoriteit (in België is dat de GBA, in Nederland de AP, in Frankrijk de CNIL en in Engeland de ICO), de Europese Commissie, de EDPB, het nationaal ministerie van buitenlandse zaken, …

    We begrijpen maar al te goed dat dit een ingewikkeld en tijdsintensief karwei is. Sirius Legal beschikt over een omvangrijk netwerk van buitenlandse advocaten gespecialiseerd in deze materies. Zo kunnen we voor bijna elk derde land onze eigen ‘gepastheidsbeoordeling’ maken.

  • Stap 5: Beoordeel of de standaard contractuele clausules volstaan

    Nu je op de hoogte bent van de juridische situatie in het derde land is het tijd om te beoordelen of de standaard contractuele clausules (SCCs) volstaan. Deze zijn in het leven geroepen door de Europese Commissie voor gegevensexport naar derde landen. Het zijn overeenkomsten die je kan sluiten de verwerkingsverantwoordelijke of verwerker in dat derde land. Als er geen problemen werden gevonden in de bovenstaande stap, dan kan je deze SCCs zonder meer gebruiken. Hou wel in het achterhoofd dat de Europese Commissie deze SCCs aan het herzien zijn. Als de SCCs niet volstaan, ga dan naar de volgende stap.

  • Stap 6: Creëer aanvullende garanties en gebruik aangepaste SCC's

    De gegevensbeschermingsautoriteit van Baden-Württemberg stelt een aantal aanvullende garanties voor. Ten eerste de encryptie (versleuteling) van de gegevens aan jouw kant. Zorg er in dat geval voor dat jij als exporteur de enige bent met de ‘sleutel’ om de gegevens te ontcijferen en dat de encryptie niet zomaar kan worden ontsleuteld. We nodigen je uit om het artikel “Is encryptie verplicht onder GDPR” te lezen als je meer wil weten over encryptie. 

    Ten tweede de anonimisering of pseudonimisering van de gegevens aan jouw kant. Zo zorg je ervoor dat de ontvanger van de gegevens niet zomaar kan weten over wie het nu werkelijk gaat. Denk eraan dat dit proces vaak al begint voor je de gegevens nog maar ingeeft of ergens uploadt. 

    Vervolgens stelt de gegevensbeschermingsautoriteit van Baden-Württemberg een aantal concrete aanpassingen en aanvullingen voor op de SCC’s:

    • Een verplichting voor de gegevensexporteur om de betrokkene te informeren dat zijn of haar gegevens naar een derde land gaan dat geen passend beschermingsniveau biedt;
    • Een verplichting voor de gegevensimporteur om zowel de exporteur als de betrokkene op de hoogte te brengen van elk verzoek tot inzage van de gegevens. Als dit niet mogelijk is, de verplichting om de nationale gegevensbeschermingsautoriteit van de exporteur hiervan op de hoogte te brengen;
    • Een verplichting voor de gegevensimporteur om juridische stappen te nemen tegen elk verzoek om inzage en deze uit te putten;
    • De toekenning van meer rechten aan de betrokkene in een geschil met de gegevensimporteur en de toevoeging van een compensatieclausule.
  • Stap 7: en als dat allemaal niet helpt...

    Het is mogelijk dat alle bovenstaande maatregelen ofwel niet mogelijk zijn ofwel nog steeds onvoldoende waarborgen bieden. In dat geval vermeldt de gegevensbeschermingsautoriteit van Baden-Württemberg dat er nog een alternatieve optie bestaat, maar dat deze alternatieven heel strikt geïnterpreteerd worden en dus weinig aanvaard als reden om gegevens te exporteren naar een derde land. Hieronder valt bijvoorbeeld de mogelijkheid om de toestemming van de betrokkene te vragen voor de gegevensexport. Deze toestemming moet wel voldoen aan alle vereisten van de GDPR. M.a.w. de toestemming moet vrij zijn, specifiek, geïnformeerd en ondubbelzinnig.

    Als al het bovenstaande niet heeft mogen baten is het allicht veiliger om de samenwerking met de partner te stoppen. 

Relevant blogartikel

Data Export na Schrems II: stilaan meer duidelijkheid op basis van eerste beslissingen

Een gewaarschuwde onderneming telt voor twee

Deze pagina en onze blogpost over het Schrems-II arrest zou je al een heel eind op weg moeten helpen. Er komen vast nog een aantal adviezen, richtlijnen en dergelijke aan van andere gegevensbeschermingsautoriteiten die meer duidelijkheid bieden. Wij volgen deze uiteraard steeds op en informeren je hierover op onze blog en sociale media. Voorlopig kan je alvast met de volgende stappen aan het werk gaan:

Stap 1: raadpleeg je dataregister/ stel een dataregister op

Stap 2: informeer je dienstverleners/ contractpartijen

Stap 3: ga na of er beslissing over het passend beschermingsniveau is

Stap 4: beoordeel de juridische situatie

Stap 5: ga na of SCCs volstaan

Stap 6: zo niet, creëer aanvullende garanties en sluit aangepaste SCCs

Stap 7: de gegevensexport stoppen/ alternatief

Download via het formulier de template van een brief met Data Export Impact Assessment die je kan gebruiken in je communicatie naar derden in landen buiten de EER. Loop je ergens vast, aarzel niet ons te contacteren! 

  • Gratis download
  • Klaar voor gebruik
Schrems-II_data_export_VS

Download de template

Hidden
Stay in touch !
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Hulp nodig? Boek een vrijblijvend gesprek in met Bart Van den Brande

Relevante tools voor jou

De nieuwe Standard Contract Clauses

Sinds 6 juni 2021 zijn er nieuwe contract templates voor je data export overeenkomsten. Hiermee kan je met jouw partners buiten de EU juridisch sluitende en veilige Data Export Agreements af te sluiten. Download ze hier! 

Data Export Compliance

Nieuwe SCC’s, het Schrems II-arrest én GDPR: hoog tijd om je data export op punt te stellen. Wij begeleiden je en nemen heel jouw data administratie uit handen.

Cookiescan

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?

Interessant voor jou op onze blog

Populair artikel schremsII_aanbevelingen-edpb
17.11.2020 Matthias Vandamme

Eindelijk! Aanbevelingen EDPB voor gegevensexport na Schrems II

Het heeft even geduurd, maar de European Data Protection Board (EDPB) heeft onlangs enkele aanbevelingen gedeeld naar aanleiding van de gevolgen van het Schrems II arrest begin deze zomer. We schreven een tijdje geleden al twee blogartikels over de gevolgen van dit arrest. In het eerste artikel gaven we ondernemingen alvast de eerste handvaten om juridische risico’s te voorkomen. Het tweede artikel bestond uit 7 pragmatische stappen voor gegevensexport naar derde landen (in het bijzonder de VS). Nu toetsen we de nieuwe aanbevelingen van de EDPB aan ons eerder advies.

 

Aanvullende maatregelen voor gegevensexport

Wanneer persoonsgegevens buiten de Europese Economische Ruimte (EER) geëxporteerd worden, moet er in het land van aankomst een evenwaardige bescherming gelden zoals binnen de EER. Als onderneming kan je daarvoor beroep doen op een adequaatheidsbesluit van de Europese Commissie of gebruik maken van een aantal tools zoals de Standaard Contractuele Clausules (SCCs) en de Binding Corporate Rules (BCRs). Maar soms volstaan deze tools op zich niet en dan zijn er aanvullende maatregelen nodig. 

De EDPB raadt 6 stappen aan voor ondernemingen om te bepalen of en welke aanvullende maatregelen nodig zijn:

  • Weet welke gegevens je exporteert: hiermee verwijst de EDPB naar het dataregister. Deze stap komt overeen met de eerste stap uit onze blog. Daarnaast benadrukt de EDPB het belang om te controleren dat je enkel gegevens exporteert die toereikend, relevant en noodzakelijk zijn om je doel te bereiken;
  • Controleer de tool die gebruikt wordt om gegevens te exporteren: ook deze stap stemt overeen met onze eerdere blogs;
  • Beoordeel de juridische situatie in het derde land: deze stap werkt de EDPB verder uit in haar tweede aanbevelingen en zullen wij hieronder verder toelichten;
  • Identificeer en gebruik aanvullende maatregelen: als de vorige stappen onvoldoende bleken, is dit dé cruciale stap in het proces. We hadden het in onze eerdere blogs al over anonimisatie, pseudonimisatie, encryptie en andere aanvullende maatregelen. De EDPB vult deze nu aan met een lijst voorbeelden aan de hand van use cases. Het is van uitermate groot belang dat je voor elke maatregel steeds een beoordeling maakt of het in de concrete situatie wel doeltreffend is;
  • Procedurele stappen: de aanname van aanvullende maatregelen kan in sommige gevallen verdere procedurele stappen vereisen, zoals bijvoorbeeld de toestemming van de bevoegde gegevensbeschermingsautoriteit;
  • Monitoren, herevalueren en aanpassen: de aanname van aanvullende maatregelen of de keuze van een transfer tool is geen eenmalige opgave. Je zal de doeltreffendheid van beide consequent in de gaten moeten houden, herevalueren en eventueel nieuwe maatregelen aannemen.

Aanvullend op deze maatregelen blijven wij onze cliënten ook aanraden om een Data Exchange Vendor Assessment uit te voeren. Dit houdt in dat je je dienstverleners en contractpartijen in de derde landen allemaal contacteert om hen te informeren over het Schrems II arrest, de gevolgen ervan en hen vraagt een korte vragenlijst in te vullen. Wij hebben hiervoor een template gecreëerd die je gratis kan downloaden via deze link.

Uiteraard dien je de export stop te zetten als geen enkele maatregel doeltreffend is om een passend beschermingsniveau te garanderen.

 

Juridische situatie in het derde land

In haar tweede aanbeveling werkt de EDPB de derde stap van haar stappenplan verder uit. Net zoals in de vierde stap van onze eerdere blogs, moet je in deze stap de juridische situatie van het land waarnaar je de gegevens exporteert beoordelen. In het bijzonder of er elementen aanwezig zijn die ervoor kunnen zorgen dat de tool waarop je je baseert minder effectief wordt. 

De EDPB benadrukt vier essentiële garanties waar je rekening mee moet houden bij de evaluatie van het recht in het derde land:

  • Duidelijke, nauwkeurige en toegankelijke regels: de wetgeving van het derde land moet voor iedereen duidelijk zijn. In het bijzonder moet je kunnen bepalen onder welke voorwaarden een overheid inzage mag nemen in de geëxporteerde gegevens;
  • Noodzakelijkheid en evenredigheid: afwijkingen van en beperkingen op de bescherming kan persoonsgegevens kunnen alleen plaatsvinden als deze strikt noodzakelijk zijn om het doel te bereiken. De rechten van de individuen mogen ook niet zwaarder doorwegen dan het publiek belang waarvoor de afwijkingen en beperkingen plaatsvinden;
  • Onafhankelijk toezichtmechanisme: er moet een rechter of een ander soort van onafhankelijke instelling zijn die toezicht houdt op alle inzageverzoeken en andere inbreuken en afwijkingen. Daarvoor moet je in het bijzonder rekening houden met de omvang van de bevoegdheden van dit orgaan;
  • Effectieve remedies: ten laatste moet het individu zijn rechten werkelijk kunnen uitoefenen. Hij moet bijvoorbeeld toegang hebben tot een rechter om zich te verzetten tegen de beoogde verwerking.

Deze garanties bestonden al voor het Schrems II arrest, maar zijn nu verder uitgewerkt door de nieuwe rechtspraak.   

 

Concrete stappen naar aanleiding van de nieuwe maatregelen

Als je de stappen nog niet doorlopen hebt sinds onze laatste blog is het nu wel hoog tijd om dat wel te doen. Voor gegevensexport naar de VS zijn twee punten van buitengewoon belang: een gepaste tool gebruiken als rechtsgrond voor je gegevensexport en aanvullende maatregelen aannemen. Voor het eerste punt is het belangrijk om te weten dat de Europese Commissie een nieuwe versie van de SCCs heeft gedeeld voor publieke consultatie. Binnenkort verschijnt er een nieuwe blog op onze website waarin we de nieuwe SCCs vergelijken met de oude. Wij kunnen je altijd helpen als je feedback wil indienen op deze publieke consultatie. Het tweede punt is bij gegevensuitwisseling naar de VS sowieso vereist aangezien de Amerikaanse wetgeving nog niet veranderd is sinds het Schrems II arrest. Je mag ook een blog verwachten waar we aan de hand van een aantal use cases toereikende aanvullende maatregelen uitwerken.

 

Vragen over Schrems II? 

Je bent altijd welkom met al je vragen bij Bart Van den Brande via bart@siriuslegal.be of Matthias Vandamme via matthias@siriuslegal.be

Advies nodig? Contacteer ons gerust!