Vrijwel iedere onderneming verwerkt gegevens van klanten, websitebezoekers of medewerkers in de VS. Opslag van gegevens in de Amerikaanse cloud, het gebruik van cookies, communicatie via social media kanalen of het versturen van e-mail via een Amerikaanse dienstverlener.

Op 16 juli 2020 deed het Europese Hof van Justitie een uitspraak en verklaarde het Privacy Shield ongeldig. Daardoor is de doorgifte van data aan ruim 5.500 Amerikaanse organisaties (waaronder de meest gebruikte marketingtools) per direct een overtreding van de AVG. Het Hof van Justitie stelt dat het Privacy Shield onvoldoende bescherming kan garanderen omdat, op grond van de Amerikaanse wetgeving, de inlichtingen- en veiligheidsdiensten daar het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. En dit is niet beperkt tot strikt noodzakelijk gegevens.

Maar ook door de EU goedgekeurde modelcontracten om veilige verwerking buiten de EU te waarborgen, werden door het Hof beoordeeld. Organisaties mogen er volgens het Hof niet langer van uitgaan dat deze overeenkomsten ervoor zorgen dat verwerking in het land van bestemming per definitie veilig is. Dit lijkt een onmogelijke opgave waardoor dit alternatief dus ook niet bruikbaar is.

Privacy Shield

In de VS heb je geen GDPR (in Nederland noemen we dat AVG). Kijk maar eens naar Facebook en Google die veel geld verdienen aan adverteerders met wie ze persoonlijke data doorverkopen. In 2000 hadden de EU en de VS afspraken gemaakt die ze hadden vastgelegd in Safe Harber. In 2015 werd deze ongeldig verklaard. De opvolger hiervan is het Privacy Shield. In 2016 werd er door critici al vraagtekens bij gesteld vanwege de in Amerika geldende wet- en regelgeving omtrent internationale veiligheid. Ze vroegen zich toen al af of er genoeg bescherming zou zijn voor de Europese consumenten.

 

Welke stappen moeten er nu genomen worden?

De uitspraak van het Europese Hof van Justitie gaat een enorme impact hebben op organisaties die data delen buiten de EU. Dat is ongeveer 70 procent van de organisaties. Het belangrijkste voor ondernemingen is om de gevolgen voor je eigen onderneming in kaar te brengen om ervoor te zorgen dat je aan de AVG kan blijven voldoen.

 

privacy shield

De volgende stappen kun je ondernemen:

1. Begin met je verwerkingsregister.

Check gelijk of het verwerkingsregister nog compleet is of dat er nieuwe partijen bij zijn gekomen. In dit verwerkingsregister (welke verplicht is sinds de AVG) staat wie de ontvangers zijn van je persoonsgegevens en waar de data opgeslagen is.

 

2. Controleer de gegevens

Wordt er data buiten de VS opgeslagen (zoals bij de meeste marketingtools) kijk dan of er een andere partij is die zijn data opslaat in Nederland of binnen de EU.
Let op dat Engeland sinds de Brexit buiten de EU valt.

Check in ieder geval de onderstaande tools

  • Cloudproviders (check ook waar de back-ups opgeslagen worden)
  • Webhosting
  • E-maildiensten
  • Socialmedia platformen
  • Cookietools
  • CRM-systemen
  • Socialmedia monitoring
  • Videobelapplicaties

Informatie waar de data wordt opgeslagen en of er informatie wordt doorgeven buiten de EU vind je in de verwekingsregisters van de betreffende organisaties.

 

3. Privacyverklaring

Als je in je privacyverklaring hebt staan dat bepaalde gegevens worden doorgegeven op basis van de EU-VS Privacy Shield, dan is het verstandig te verwijderen en te veranderen naar een organisatie binnen de EU. Vergeet hier de hyperlink aan te passen die je in dit document hebt staan die verwijzen naar de betreffende organisaties.

Heb je nog geen alternatief? Zorg dan dat je transparant bent. Geef aan dat je op zoek bent naar een goed alternatief om de gegevens goed te beschermen.

 

Geen gedoogperiode

Bij het ongeldig verklaren van Safe Harber, de voorloper van het Privacy Shield, was er een gedoogperiode van 9 maanden. Het is de vraag of dit nu ook zo zal zijn.

In een Frequently Asked Questions-document maakt de EDBP, de Europese koepel van privacy-toezichthouders, duidelijk dat er wat hen betreft geen sprake van gedogen zal zijn. Het lijkt een kwestie van tijd voordat er in heel Europa klachten van privacy-activisten worden ingediend bij toezichthouders.

Omdat er hierover nog veel onduidelijkheid is heeft DDMA, de vereniging voor data en marketing, de meest gestelde vragen over data delen buiten de EU op een rij gezet.

Zijn hier nog vragen over? Neem dan gerust contact met ons op en we kijken wat we voor je kunnen betekenen.

Angelique Lijffijt

int.NLP trainer en coach

Angelique is naast NLP trainer ook coach met ervaring om ondernemers verder op weg te helpen met behulp van NLP. Haar passie is om je in je kracht te zetten en je te laten inzien hoe je door gebruik te maken van de NLP technieken je dit kunt bereiken. Daarnaast maakt ze websites en leert ze ondernemers sneller opdrachten binnen te halen door NLP en marketing met elkaar te combineren.

0
We willen graag je mening weten, laat je een reactie achter?x
()
x