EDPB komt met aanbevelingen voor strengere regels bij export data

Het Europees Comité voor gegevensbescherming (European Data Protection Board - EDPB) komt met aanbevelingen voor strengere regels rondom overdracht van gegevens van Europeanen naar het buitenland aan. Bedrijven die data exporteren uit de Europese Unie (EU) moeten zorgen dat de bescherming van de privacy van betrokken gebruikers op Europees niveau blijft gedurende het volledige transport, de opslag en eventuele bewerking van de gegevens.

De strengere regels volgen na een eerdere uitspraak van het Europese Hof van Justitie in een zaak die de Oostenrijkse privacyactivist Max Schrems had aangespannen tegen Facebook. Het Hof oordeelde toen dat de Privacy Shield-overeenkomst met de Verenigde Staten (VS). Het verdrag voldoet niet aan de Algemene Verordening Gegevensbescherming (AVG), oordeelde het Hof. De Privacy Shield-overeenkomst is de opvolger van het Safe Harbour-verdrag, dat eerder eveneens na een rechtszaak van Schrems door het Hof ongeldig is verklaard.

Modelcontracten

De uitspraak betekent dat voor datauitwisseling met de VS dezelfde regels gelden als datauitwisseling met andere landen waarmee de EU geen afspraken heeft gemaakt rondom de bescherming van persoonsgegevens. In de praktijk zorgt dit ervoor dat organisaties in EU-landen sinds juli alleen persoonsgegevens mogen doorgeven aan de VS indien zij kunnen waarborgen dat de data hierbij net zo goed wordt gewaarborgd als in de EU. Zij kunnen hiervoor onder meer gebruik maken van modelcontracten, die ook wel standaardclausules worden genoemd. De Nederlandse toezichthouder Autoriteit Persoonsgegevens liet eerder weten hierop vooralsnog niet actief te handhaven.

De EDPB benadrukt dat bedrijven die data opslaan in landen waar de veiligheid hiervan minder goed is gewaarborgd, zelf verantwoordelijk zijn voor het realiseren van de extra benodigde veiligheid. De raad noemt in haar aanbevelingen ookr maatregelen die bedrijven kunnen nemen om dit veiligheidsniveau te waarborgen. Denk hierbij aan encryptie en pseudonimisering.

Het Safe Harbour-verdrag werd enkele maanden geleden al door het Hof ongeldig verklaard, maar aanpassing van de privacyregels liet op zich wachten. Brancheverenging NLdigital riep onlangs nog op tot meer duidelijkheid over de doorgifte van persoonsgegevens naar het buitenland.