D-Day voor Privacy!

Sinds 27 juni 2021 gelden in de EU vergaande nieuwe regels op het gebied van de uitvoer van persoonsgegevens buiten de EU. Er is een overgangsregeling in opgenomen. Echter, in veel gevallen blijken techbedrijven (bedrijven die IT-diensten zoals cloud, implementaties, datacenters of sourcing leveren) en hun klanten direct de nieuwe regels te moeten implementeren!

De kernverplichting onder het privacyrecht betreft dat persoonsgegevens niet zomaar de EU verlaten, en terecht komen in een land waar men minder strenge privacyregels heeft. De GDPR verbiedt dat bedrijven en overheden persoonsgegevens uitvoeren buiten de EU, behalve als aan wettelijke verplichtingen is voldaan.

Achterliggende zorgen zijn onder meer ongewenste inzage door buitenlandse veiligheidsdiensten en ‘surveillance capitalism’. (Dit laatste is de wereldwijde praktijk van bedrijven als Google en Facebook om verregaande informatie over hun klanten – lees individuen – te verzamelen en te verhandelen). De boete op een illegale transfer kan oplopen tot 20 miljoen euro, of 4 procent van de wereldwijde omzet.

Wat aan de nieuwe transferregels vooraf ging

Vorig jaar zomer was het groot nieuws. Het Europese Hof van Justitie maakte in Schrems II korte metten met de grootschalige uitvoer door Facebook van onze persoonsgegevens naar Amerika. Een van de grote zorgen was dat de NSA ongeclausuleerd toegang zou kunnen krijgen tot onze persoonlijke data. Gevolg was dat het Privacy Shield, dat gegevensuitwisseling tussen de EU en de USA mogelijk moet maken, per direct ongeldig werd verklaard.

In de slipstream vermeldde de hoogste Europese rechter terecht dat het ernstige vraagtekens plaatste bij het gebrekkige juridische fundament voor de uitvoer van persoonsgegevens wereldwijd vanuit de EU. Dit verwijt bleek niet aan dovemansoren gericht. De Europese Commissie maakte de afgelopen maanden eindelijk haast met het huiswerk, dat zij sinds 2018, toen de nieuwe privacywet (GDPR) in de EU van kracht werd, voor zich uitgeschoven had.

Het resultaat is een gloednieuwe set modelcontracten (standard contractual clauses, SCC), die iedere uitvoer van persoonsgegevens buiten de EU regelt. Volledig aangepast aan de eisen van deze tijd, zoals neergelegd in de GDPR. Zo wordt er een transfer verbod ingevoerd als bijvoorbeeld een veiligheidsdienst als de NSA de gegevens in handen zou kunnen krijgen.

Een nieuwe verplichting is dat de ieder bedrijf of instelling die persoonsgegevens exporteert buiten de EU voorafgaand hieraan een zogeheten data transfer impact assessment (TIA) dient uit te voeren met de ontvanger (zoals bijvoorbeeld klanten in de US, of processors in China).

Het goede nieuws is voorts dat het papierwerk flink verminderd kan worden. Tot nog toe moesten transfers apart van de verwerkersovereenkomst worden geregeld. Onder het nieuwe regime kunnen data-uitvoerende partijen dit in elkaar schuiven. Tot zover de voordelen.

De adder onder het gras zit hem in het grote bereik van deze transfercontracten (de nieuwe SCC). De voorloper van deze contracten gold alleen voor controllers. Oftewel: alleen bedrijven die voor hun eigen bedrijfsvoering zelf persoonsgegevens verwerken. Nieuw is dat de nieuwe transferregels óók voor techbedrijven gelden. Met bijbehorend boeteregime.

De nieuwe regels gelden rechtstreeks voor alle techbedrijven die (voor hun klanten zoals organisaties en consumenten) transfers van persoonsgegevens verrichten aan anderen (processors of controllers) buiten de EU. Dit geldt voor de meeste techbedrijven, zeker de meer internationaal gerichte. Doordat hiervoor eerder géén regels waren opgesteld door de Europese Commissie, hebben veel techbedrijven het juridisch regelen van deze transfers voor zich uitgeschoven. En het overgangsregime dreigt feitelijk niet voor hen te gelden: dat regime is er op gericht dat men nog een tijdje de oude regels kan gebruiken, maar die gelden nu juist niet voor techbedrijven.

Ook voor veel controllers, die persoonsgegevens in het kader van hun eigen bedrijfsvoering verwerken, zal gelden dat zij al vrij snel de nieuwe transferregels moeten implementeren. Voorwaarde voor het voorlopig blijven gebruiken van de oude regels is namelijk dat men niets in de bestaande verwerking van persoonsgegevens mag wijzigen. Gezien het dynamische en innovatieve karakter van het bedrijfsleven, maar ook van veel instellingen en overheden, ligt wijziging al snel voor de hand. Hier lijkt de Europese Commissie (de opsteller van de SCC) enigszins achter de technologische ontwikkelingen aan te lopen.

Na ruim drie jaar te hebben gewacht op de Europese Commissie voor het implementeren van transferregels die GDPR-compliant zijn, blijkt de implementatie voor veel techbedrijven en hun afnemers hoogste prioriteit.

D-Day voor Privacy!

Gerelateerde artikelen

Naar een moderne i-overheid

Naar een moderne i-overheid

Digitalisering gaat snel, ook bij de overheid. Er zijn twee parallelle veranderingsprocessen: de digitalisering van de uitvoerende processen zelf, inclusief informatiehuishouding en besturingsmodellen, en de modernisering van ICT-voorzieningen. Daan Rijsenbrij en Hans Timmerman over de problemen en doelen van een moderne informatievoorziening bij de overheid.

Hoe data governance de digitale druk op CIO’s verlicht

Hoe data governance de digitale druk op CIO’s verlicht

Het verzamelen, analyseren en interpreteren van data is cruciaal voor bedrijven. Hierdoor ontstaat namelijk inzicht in bijvoorbeeld klanten, markten en processen. En met dit inzicht kun je datagedreven besluiten nemen, waarde voor de business realiseren en kosten reduceren.

‘Uniform datamodel voor optimaal engagement met klant’

‘Uniform datamodel voor optimaal engagement met klant’

Voor een optimale klantervaring heb je betrouwbare, controleerbare, samenhangende, toepasbare en actuele profielgegevens nodig. Realtime beschikbaarheid en toestemming van de klant zijn vereist voor optimale interactie en relevant advies. Bouke Hoving, CIO Retail Banking van ING, vertelt over de uitrol van een gestandaardiseerd platform in een goeddeels decentrale dynamiek.