Wie gebruikt er nou geen Amerikaanse tools of software…?

Het is een boutade, maar oh zo correct: het internet kent geen grenzen. Dat geldt ook voor de ontelbare softwaretoepassingen, apps, tools, plug-ins, SaaS-oplossingen, etc.. die webshops dagelijks gebruiken. Heel wat van die tools zijn Amerikaans, Chinees of kunnen in principe uit elke uithoek van de wereld komen.    

De EU doet er alles aan om de privacy van haar burgers te beschermen, onder meer via de GDPR of AVG. Buiten Europa bestaat diezelfde bescherming vaak niet. Persoonsgegevens doorsturen naar (server-)locaties buiten de unie, kan daarom in principe alleen onder strenge voorwaarden. Het Europees Hof van Justitie maakt die regels nu nog strenger in het recente ‘Schrems II arrest’ (Zaak C-311/18, dd. 16 juli 2020), met als gevolg dat élke webshop (en elk bedrijf) in de EU dringend moet herbekijken of het gebruik maakt van dienstverleners buiten de EU en of dat wel gebeurt volgens de regels.  

Doorgifte van persoonsgegevens buiten de EU?

Persoonsgegevens doorgeven aan personen of bedrijven buiten de Europese Unie mag niet zomaar onder GDPR. De Europese wetgever gaat ervan uit dat landen buiten de EU niet per definitie even veilig omgaan met persoonsgegevens als de EU zelf. Daarom mogen persoonsgegevens alleen doorgegeven worden buiten de EER onder zeer specifieke voorwaarden.   

Er is in de eerste plaats een (zeer korte) lijst met veilige landen. Naar die landen mag je zonder probleem data exporteren. Op die lijst staan bijvoorbeeld Japan, Canada, Argentinië en Israël.  

Wil je gegevens uitwisselen met andere landen, dan kan dat alleen onder strikte voorwaarden. Binnen een groep van bedrijven kan je zogenaamde ‘Binding Corporate Rules’ opstellen, een soort van intern reglement dat binnen de groep de veiligheid van doorgifte moet garanderen.  

Wil je samenwerken met externe partners, dan moet je in principe een geschreven overeenkomst voorzien, waarin copy/paste de minimale garanties zijn opgenomen die de EU heeft voorzien in een reeks ‘standaard contractclausules’.

Wie persoonsgegevens doorgeeft en daarbij niet kan terugvallen op één van deze juridische constructies, riskeert bijzonder hoge boetes.

Privacy Shield?

Heel wat techbedrijven zitten in de VS, natuurlijk. De privacywetgeving in de VS is echter absoluut niet zo uitgebreid als bij ons. Daarom is de VS nooit op de korte lijst met ‘veilige landen’ geplaatst door de EU.  

Voor Amerikaanse bedrijven bestaat -of bestond- wel een ander systeem, het zogenaamde ‘Privacy Shield’. Het Privacy Shield garandeerde de veiligheid van Europese persoonsgegevens in de VS voor bedrijven die zich lieten registreren en aan een aantal strikte voorwaarden voldeden. De Googles, Microsofts en Facebooks van deze wereld verwerken jouw en mijn persoonsgegevens op basis van dit Privacy Shield.    

Dit Privacy Shield is nu echter door het Europees Hof onderuit gehaald omdat Amerikaanse bedrijven in werkelijkheid nooit een voldoende niveau van veiligheid van persoonsgegevens kunnen garanderen. Amerikaanse inlichtingendiensten monitoren immers systematisch en op grote schaal persoonsgegevens uit bijvoorbeeld e-mails en cloudopslagdiensten. Het Hof verklaart het Privacy Shield dan ook -terecht- ongeldig.

Wat betekent dit voor jou?

De gevolgen zijn groot. Duizenden Amerikaanse bedrijven voldoen plots niet meer aan de minimale voorwaarden om persoonsgegevens van Europese burgers te bewaren of te verwerken. Denk daarbij aan cloudopslagdiensten, hostingdiensten, allerlei online tools voor online marketing, CRM, boekhoudpakketten, ERP, maar bijvoorbeeld ook lokale software developers, consultants, call centers, etc… 

Strikt genomen mag je als Europees bedrijf van de ene dag op de andere niet meer samenwerken met deze Amerikaanse partners. Als je dat toch doen riskeer je immense boetes en bij een datalek bij zo’n niet conforme partner in de VS, dreig jij ook nog eens op te draaien voor alle aan zo’n datalek verbonden schade. 

Wat moet je  dan concreet doen?

Het systeem van standaard contractclausules blijft gelukkig wél bestaan, maar je hebt als Europees bedrijf wel de verplichting om ook de facto te checken of je gegevens in elk individueel geval wel veilig zijn bij de ontvanger.  

Europese webshops moeten dus dringend onderzoeken welke tools zij gebruiken die potentieel data verzend buiten de EU. Als die tools werkten op basis van het Privacy Shield, zijn er twee opties: ofwel wordt de verwerking in de toekomst gebaseerd op standaard contractclausules, ofwel moet je op zoek naar een andere leverancier. Elke andere optie houdt een aanzienlijk risico’ op boetes in…  

Daarnaast moet je voor élke data export een risk assessment maken om in te schatten of je gegevens veilig zijn bij de ontvanger, uitgaande van de gevoeligheid van de data en het risico voor de veiligheid van die data aan de zijde van de ontvanger. In het ergste geval moet je contracten beëindigen en andere partners kiezen…  

Vragen rond gegevensexport onder GDPR of hulp nodig bij een audit van jouw lopende contracten?

Bel of mail gerust vrijblijvend. Ons team staat je graag te woord. Bellen of mailen kan naar +32 486 901 931 of naar bart@siriuslegal.be

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.


*