Stay on track

Stay on track

Moving you forward

Newsletter

Back to overview

Het doorgeven van gegevens aan de USA: wat kan nog?

Published on 15/12/2020

Wie gebruik maakt van Amerikaanse software-aanbieders zoals Google, Salesforce of MailChimp geeft zo verzamelde persoonsgegevens door aan een land buiten de Europese Economische Ruimte, nl. de USA. Mag u dit nog wel?


1. Basis voor doorgiften

Conform de GDPR is een doorgifte buiten de EER enkel toegelaten indien het gewaarborgde beschermingsniveau voor de betrokken personen niet wordt ondermijnd. Dit kan bijvoorbeeld door de doorgifte te baseren op:

 

  • een adequaatheidsbesluit, zoals de EU-US Privacy Shield;
  • bindende bedrijfsvoorschriften;
  • standaardbepalingen;
  • goedgekeurde gedragscodes of een goedgekeurd certificeringsmechanisme.

 

2. EU-US Privacy Shield (adequaatheidsbesluit) is nietig

De doorgiften aan de USA werden voornamelijk gebaseerd op de EU-US Privacy Shield.

Onlangs verklaarde het Hof van Justitie het EU-US Privacy Shield echter nietig omdat de overgedragen persoonsgegevens zonder voldoende beschermingsmaatregelen door de Amerikaanse overheid konden worden verwerkt (Schrems II-arrest).

Door deze beslissing is de doorgifte van persoonsgegevens op grond van de EU-US Privacy Shield dus niet langer toegestaan.

3. Indien geen EU-US Privacy Shield, mogen standaardbepalingen nog?

In dezelfde beslissing onderzocht het Hof van Justitie de geldigheid van de standaardbepalingen. Het Hof oordeelde dat deze nog gebruikt konden worden bij een overdracht, maar waarschuwde er tegelijkertijd ook voor dat de overgedragen persoonsgegevens waarschijnlijk eveneens zonder voldoende beschermingsmaatregelen verwerkt zouden worden door de USA.

Op het eerste zicht lijkt dit tegenstrijdig omdat een overdracht niet mag plaatsvinden indien het gewaarborgd beschermingsniveau niet kan worden geboden.

In de nieuwe ontwerpen voor standaardbepalingen, die op 12.11.2020 werden gepubliceerd, komt de Europese Commissie echter niet tegemoet aan dit probleem. Daarentegen wordt in het ontwerp bepaald dat partijen bij het afsluiten van de standaardbepalingen moeten geloven dat de wetten, toepasselijk op de gegevensimporteur, in overeenstemming zijn met de voorwaarden in de standaardbepalingen.

Dit wordt moeilijk voor iedereen die gegevens overdraagt naar de USA nu dat het Hof van Justitie heeft bepaald dat de persoonsgegevens daar hoogstwaarschijnlijk zonder voldoende beschermingsmaatregelen worden verwerkt.

Maakt u dus best géén gebruik van de standaardbepalingen?

4. Gebruik standaardbepalingen is toegestaan, maar blijf opletten

De GDPR biedt weinig gronden voor doorgifte van persoonsgegevens buiten de EER.

Gelet op het gemak en veiligheid van de standaardbepalingen alsook het Schrems II-arrest, en totdat wordt bepaald dat de standaardbepalingen niet gebruikt mogen worden voor doorgiftes aan de USA, blijft het gebruik van standaardbepalingen een verdere optie.

Hoe kan GDPR-housekeeping u bijstaan?

Bij de GDPR-housekeeping formule helpt Odigo u bij het continu naleven van de GDPR-verplichtingen. Dit houdt o.a. in het opvolgen van nieuwe arresten en de nodige aanpassingen maken in uw register en/of GDPR-documenten, zoals het privacybeleid en verwerkersovereenkomsten.

Om dit zo efficiënt mogelijk te organiseren wordt gebruik gemaakt van PrivacyPerfect. Privacy Perfect is een eenvoudige online tool, maar toch één van de meest uitgebreide oplossingen op de markt voor GDPR-compliance, ontworpen om de gegevensbescherming te vergemakkelijken en tijd te besparen.

Als u meer wilt weten over GDPR-housekeeping, contacteer ons op info@odigo.be.

Magalie Manshoven, advocaat
Jan Coninx, advocaat