Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Deze wet is de strengste ter wereld waar het gaat om de bescherming van persoonsgegevens. Een belangrijke randvoorwaarde uit deze wet is dat persoonsgegevens alleen nog mogen worden gebruikt of opgeslagen in landen die net zo veilig zijn als de Europese Unie zelf voorschrijft. Dat maakt werken in veel landen erg lastig – met name in de Verenigde Staten.
De AVG geldt in de gehele Europese Unie, plus in Noorwegen, Liechtenstein en IJsland – samen de Europese Economische Ruimte of EER geheten. Werkt u met bedrijven of instellingen in die landen, dan is er dus niets aan de hand. Maar gaat u buiten de EER, dan moet u nagaan of deze landen veilig zijn voordat u überhaupt met deze bedrijven in zee gaat.
Op dit moment zijn als veilige landen aangemerkt: Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten en Zwitserland. Het is nog niet duidelijk of het Verenigd Koninkrijk na de Brexit nog binnen de EER gerekend wordt, of dat er een aparte erkenning moet plaatsvinden. Dat laatste kan wel even duren, dus een voorzichtig Europees bedrijf zou niet snel meer persoonsgegevens in Engeland laten verwerken.
Specifiek bij de Verenigde Staten geldt nog wel dat de betrokken organisatie aan het Privacy Shield moet voldoen. Dit is een regeling tussen de VS en de EU, waarmee deze organisatie verklaart de Europese regels na te zullen leven en de VS aangeeft niet zomaar naar Amerikaans recht toegang te verlangen tot hun gegevens. Deze regeling wordt door juristen als twijfelachtig gezien, omdat “nationale veiligheid” wél een grond is voor toegang en niet duidelijk is wanneer deze ingeroepen kan worden.
Vanwege zorgen over het Privacy Shield zien we steeds vaker dat bedrijven liever zakendoen met een Europese dochter van een Amerikaans bedrijf, zoals de dochters van Amazon of Microsoft in Ierland en België. Deze bedrijven vallen gewoon onder de AVG. Een punt van zorg hierbij is dan weer of de Amerikaanse autoriteiten de moedermaatschappijen kunnen verplichten de gegevens van deze dochterbedrijven op te gaan halen. Deze vraag ligt nu bij de US Supreme Court en een positief antwoord zou ook deze constructie de nek om draaien.
Werkt u in andere landen, bijvoorbeeld een uitbestede klantenservice in India, dan moet u zelf maatregelen nemen. De meest voor de hand liggende oplossing is gebruik te maken van de zogeheten EU Model Clauses, waarmee u een contract opstelt dat de strenge Europese regels oplegt aan deze wederpartij. Gaat het om een buitenlands onderdeel van uw concern, dan kunt u ook werken met bindende bedrijfsvoorschriften (binding corporate rules) die zijn goedgekeurd door de toezichthouder.
Natuurlijk moet u met zo’n buitenlandse partij nog steeds een verwerkersovereenkomst sluiten, zoals we twee weken geleden zagen. Dat hoeft niet als de buitenlandse partij geen verwerker is, maar in dat geval moet u wel nagaan of u de persoonsgegevens wel mag verstrekken aan deze partij. Dat een land veilig is, betekent nog niet dat iedere organisatie in dat land die gegevens zomaar mag ontvangen. Ook dan gelden nog gewoon alle regels uit de AVG, zodat ook bij die organisatie de persoonsgegevens zo veilig mogelijk behandeld worden.
Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.