Bedrijven en organisaties die persoonsgegevens van Europese burgers in landen buiten de EU opslaan, dienen bij twijfel over de bescherming die gegevens in de EU houden. Dat adviseert de Autoriteit Persoonsgegevens naar aanleiding van de Schrems II-uitspraak afgelopen juni.
Het Europees Hof van Justitie verklaarde toen het Privacy Shield-verdrag tussen de Europese Unie en de Verenigde Staten ongeldig. De European Data Protection Board (EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Tot de EDPB behoren alle nationale privacytoezichthouders uit de Europese Unie.
Modelcontracten
De EDPB stelt dat de meest praktische oplossing voor de doorgifte van persoonsgegevens het gebruik van modelcontracten is. “Maar dat mag in de meeste gevallen alléén als een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen”, benadrukt de Autoriteit Persoonsgegevens (AP). Voorbeelden van aanvullende maatregelen zijn encryptie en pseudonimisering.
Zelf verantwoordelijk
Ondernemingen zullen per geval moeten beoordelen welke maatregel, of combinatie van maatregelen, vereist is om persoonsgegevens goed te beschermen. Het treffen van aanvullende maatregelen zal niet altijd mogelijk zijn, bijvoorbeeld omdat er landen zijn waar privacy en andere grondrechten onvoldoende zijn gewaarborgd. Bedrijven die in zulke landen persoonsgegevens bewaren, blijven er zelf verantwoordelijk voor dat dit op een veilige manier gebeurt.
Geen doorgifte bij twijfel
Het advies van de AP luidt om bij twijfel data in de EU te houden. “Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU.”
Klik hier voor de aanbevelingen van de AP.