Selecteer een pagina
Gevolgen uitspraak Europese hof van Justitie over Privacy Shield
Gevolgen uitspraak Europese hof van Justitie over Privacy Shield

Het Hof van Justitie van de Europese Unie (EU) heeft op 16 juli het EU / VS Privacy Shield ongeldig verklaard in de zaak Schrems II. Dat betekent dat organisaties in de EU geen persoonsgegevens meer mogen doorgeven aan organisaties in de Verenigde Staten op basis van het EU / VS Privacy Shield.

Deze uitspraak heeft verstrekkende gevolgen voor organisaties die enkel leunen op het EU / VS Privacy Shield en geen aanvullende maatregelen hebben getroffen.

Achtergrond van het Privacy Shield

De Algemene verordening gegevensbescherming (AVG) stelt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte (derde landen), zoals de VS. Dit mocht alleen als in die derde landen het door de AVG gewaarborgde beveiligingsniveau voor persoonsgegevens niet wordt ondermijnd.

Dit kon worden geregeld door gebruik te maken van:

  • Het EU / VS Privacy Shield (een adequaatheid besluit waarin geregeld is dat informatie uitwisseling onder voorwaarden is toegestaan)
  • Zogenaamde Modelcontracten (ook wel standaardbepalingen of standard contractual clauses (SCC’s genoemd).
Het Europese Hof van Justitie heeft nu dus besloten dat het EU / VS Privacy Shield niet langer geldig is omdat er onvoldoende bescherming is tegen het inzien van persoonsgegevens door inlichtingen- en veiligheidsdiensten. Ook is de afhandeling van klachten rondom de AVG onvoldoende geregeld in de overeenkomst. Het hof heeft de Modelcontracten wel goedgekeurd, mits deze minimaal dezelfde waarborgen geven als de AVG afdwingt binnen de Europese Unie.

Wat betekent dit voor de dienstverlening van ITON

Strikt genomen betekent dit dat de doorgifte van persoonsgegevens aan organisaties in de Verenigde Staten die enkel leunen op het EU / VS Privacy Shield niet langer is toegestaan onder de AVG. Omdat wij in ons portfolio gebruikmaken van producten van derden die gevestigd zijn in de Verenigde Staten, heeft dit mogelijk gevolgen voor jouw IT-omgeving.

Voor de meerderheid van onze klanten heeft de uitspraak zoals het nu lijkt gelukkig weinig gevolgen. Doordat Microsoft niet leunt op het EU / VS Privacy Shield, maar gebruikmaakt van Modelcontracten (SCC’s), heeft deze uitspraak geen gevolgen voor de uitwisseling van data met Microsoft. Het gebruik van Azure en Microsoft 365 diensten (zoals Office 365 en EMS) voldoet dus nog steeds aan de geldende wetgeving.

Meer informatie is hier te vinden: https://blogs.microsoft.com/eupolicy/2020/07/16/assuring-customers-about-cross-border-data-flows/

Wel zijn we in gesprek met SkyKick over de gevolgen van deze uitspraak. Zij werken op het moment van schrijven niet met Modelcontracten, maar leunen op het EU / VS Privacy Shield. Op dit moment werken zij aan een aanscherping van de privacyverklaring en zullen ook zij op korte termijn gaan werken met modelcontracten.

Wij verwachten binnen enkele dagen tot weken een vernieuwde privacy statement te ontvangen. We zullen klanten die gebruik maken van SkyKick hier apart over informeren op het moment dat we hier een update over hebben.

Daarnaast zijn we in gesprek met ActiveCampaign. Dit is de oplossing die wij gebruiken voor onder andere het versturen van mailings aan onze klanten en contactpersonen. Ook zij verwachten binnen enkele dagen met een vernieuwde privacyverklaring te komen die is gebaseerd op een Modelcontract.

Voor de overige leveranciers waarmee wij werken geldt dat deze voldoen aan de geldende wetgeving (AVG). Of, omdat we geen persoonsgegevens delen met deze leveranciers, of omdat deze organisaties zijn gevestigd binnen de Europese Unie en daarmee voldoen aan de wetgeving.

Is mijn omgeving daarmee volledig AVG compliant?

Dit hoeft niet het geval te zijn. Wij hebben alleen onderzoek gedaan naar de gevolgen van deze uitspraak voor de diensten die wij direct leveren vanuit ons portfolio. Veel van onze klanten en andere organisaties maken echter gebruik van applicaties (waarbij met name SaaS applicaties een aandachtspunt zijn) waar deze uitspraak mogelijk van op toepassing is. Wij adviseren daarom contact op te nemen met jouw (SaaS) leveranciers en op te vragen welke gevolgen deze uitspraak heeft. Leveranciers vermelden in de regel de contactgegevens waar je terecht kan met vragen over privacy en AVG in het privacy beleid. Deze staat vaak onderaan de website van de betreffende leverancier. Heb je vragen? Via het contactformulier kun je contact met ons opnemen.

Als eerste op de hoogte

Abonneer op onze nieuwsbrief

Logo-ITON-footer

Contact

> Neem contact op

Werken bij

> Kom bij ons werken

Gegevens

Landjuweel 20
3905 PG Veenendaal

Algemeen
088 070 06 00

Support
088 070 06 25
sd@iton.nl

Socials

     
IBI | ISO27001 | ISAE3402