Uitwisseling persoonsgegevens met ‘derde landen’

Afbeelding Uitwisseling persoonsgegevens met ‘derde landen’

Op 31 augustus 2021 hebben wij u via de privacy-update-q321 geïnformeerd over de stand van zaken met betrekking tot het afgeven van een zogenaamd adequaatheidsbesluit door de EC voor het Verenigd Koninkrijk (VK), waardoor uitwisseling van persoonsgegevens tussen Nederland (EU) en het VK weer zonder belemmering mogelijk is. Tevens hebben wij in de nieuwsbrief gewezen op de oplevering van herziene modelcontracten en bindende bedrijfsvoorschriften door de Europese Commissie. Beide ontwikkelingen hebben, voor zover wij daar zicht op hebben, geen directe invloed op het privacy-risicoprofiel van het fonds.

 Er is nu (eindelijk) beweging te melden op het gebied van doorgifte van persoonsgegevens met de Verenigde Staten (VS). Op 25 maart j.l. werd een principeakkoord aangekondigd vanuit de Europese Commissie (EC) dat uiteindelijk moet resulteren in een definitief besluit ter vervanging van het Privacy Shield dat in 2020 ongeldig werd verklaard door de hoogste Europese rechter (Schrems II). Er zullen betere waarborgen moeten worden opgenomen in een nieuwe overeenkomst tussen de EU en de VS, maar hoe die eruit gaan zien is nog niet bekend. Uit publicaties blijkt wel dat in de nieuwe overeenkomst bindende afspraken met de VS moeten worden opgenomen over een noodzakelijke en proportionele toegang tot persoonsgegevens. De rol die een Amerikaanse rechter op dit moment moet spelen om in bepaalde situaties toegang te verkrijgen tot persoonsgegevens van EU burgers volstaat niet om het beveiligingsniveau dat vanuit de EU wordt nagestreefd te garanderen. Mochten er verwerkingen buiten de EU plaatsvinden door of voor het fonds, dan kan dit gevolgen hebben voor het toezicht op de middelen die daarvoor worden ingezet alsmede hoe het fonds kan aantonen dat de bescherming van persoonsgegevens bij die verwerkingen conform het beveiligingsniveau van de AVG worden uitgevoerd.

Belangrijk is ook dat er sprake zou zijn van de oprichting van een ‘Data Protection Review Court’ die betere garanties moet bieden voor een adequate behandeling van klachten van EU burgers. Verder moeten organisaties met domicilie in de VS, meer nog dan nu reeds, aantoonbaar maken dat zij over een adequate beveiliging beschikken voor de verwerking van EU persoonsgegevens. Hiervoor wordt ondermeer een zelf-certificering genoemd maar de vraag is of een dergelijke zelf-certificering niet ‘de slager is die zijn eigen vlees keurt’. Wij houden hier voor u een vinger aan de pols.

Auteur

Afbeelding albert-de-jong

Albert de Jong

senior compliance officer en adviseur