Op 20 juli jongstleden heeft het EU Hof van Justitie het EU-VS Privacy Shield verdrag ongeldig verklaart. Dit verdrag was opgesteld zodat organisaties binnen de EU persoonsgegevens konden overdragen aan de VS zonder dat daarbij de AVG overtreden werd. Nu dit verdrag niet langer geldig is, is het onduidelijk hoe het nu verder moet met data die in de VS (of bij een Amerikaans bedrijf) opgeslagen staat.
Meerdere collega's zijn aan ons virtuele bureau geweest met de vraag of zij nog gebruik kunnen maken van de diverse applicaties/diensten waarbij de gegevens in de VS staan. Denk hierbij aan diensten zoals Facebook, Google, Mailchimp, etc. Maar ook aan applicaties die wellicht op papier in Nederland zitten, maar delen van de gegevens opslaan bij een Amerikaans bedrijf, Amazon AWS is hier een voorbeeld van. Amazon is in dit geval een sub verwerker.
Om deze vragen te beantwoorden hebben we in klein comité (de FG, Ciso, Privacy Jurist, Privacy Officer en de Security Officer) bij elkaar gezeten om te kijken hoe we nu als gemeente met dit vraagstuk om moeten gaan. Wat in dat overleg vooral duidelijk werd, is dat er eigenlijk nog heel erg veel onduidelijk is. We zijn de eerste gemeente in de regio die zich met dit vraagstuk bezighoudt en ook binnen de EU is het een en ander nog niet helemaal duidelijk. De European Data Protection Board (EDPB) is op dit moment aan het kijken wat nu de praktische gevolgen van deze uitspraak zijn en ook de Autoriteit Persoonsgegevens (AP) moet nog gaan komen met een concreet beleid. Het enige wat op dit moment hoop bied zijn de zogenaamde modelcontracten die door de EU zijn opgesteld. Door het afsluiten van een van deze modelcontracten met de leverancier blijft het mogelijk om persoonsgegevens uit te blijven wisselen. Voor Zeist hebben we enkel een dergelijk contract met Microsoft.
Dit maakt het nu lastig om hier nu heel stellig een standpunt over in te nemen. Daarnaast moeten we per applicatie/dienst gaan kijken welke gegevens worden er gedeeld, maar ook, hoe belangrijk is de continuïteit van deze dienst? Je kan immers niet zomaar de stekker uit een applicatie voor het primaire proces trekken.
We hebben daarom het volgende afgesproken:
- We wachten even af wat er binnen de EU besloten wordt (EDPB).
- We gaan informeren bij de AP wat hun advies/standpunt in deze kwestie is.
- We gaan (voor zover nog niet compleet) inventariseren welke applicaties/diensten gegevens binnen de VS of bij een Amerikaans bedrijf opslaan en wat daar de impact van is.
- Bij nieuw aan te schaffen applicaties/diensten wordt strenger gekeken naar de locatie waar de data opgeslagen wordt.
Kortom, op dit moment maken we even een pas op de plaats en verandert er nog even niets, je hoeft je dus geen zorgen te maken dat je applicatie/dienst het straks ineens niet meer doet.
Wanneer we meer duidelijkheid hebben vanuit de EU en de AP kunnen we (indien nodig) gaan beginnen met het formuleren van richtlijnen. We houden jullie op de hoogte van de voortgang.
Mocht je naar aanleiding van dit stuk nog vragen hebben, schroom dan niet om die aan één van ons te stellen (info@viag.nl) , we helpen je graag.
Mocht je een applicatie/dienst gebruiken waarvan je denkt dat die niet bij ons de lijst staat en relevant is in dit verhaal, geef die dan door.
Voor de geïnteresseerden:
Het nieuwsbericht: https://autorit...eldig-verklaard
Aanleiding uitspraak: https://www.tim...shield-ongeldig
Security Officer minder weergeven