Europese bedrijven doen veelvuldig beroep op Amerikaanse clouddiensten om aan hun informatiebehoefte te voldoen. Maar brengen we de bescherming van de persoonlijke levenssfeer van burgers niet in gevaar wanneer we gegevens uitwisselen met niet-Europese partners? Aan de hand van een eenvoudig stappenplan kan een bedrijf het risico van een gegevensflux beter inschatten.
Ongerustheid over niet-Europese cloud providers
Europese bedrijven doen veelvuldig beroep op Amerikaanse clouddiensten om aan hun informatiebehoefte te voldoen. Onder meer verstrengde GDPR-regels, uitspraken van rechtbanken (de Schrems arresten: https://nl.wikipedia.org/wiki/Max_Schrems) en geruchten over sancties wegens het niet respecteren van de naleving van GDPR (https://noyb.eu/nl/oostenrijkse-gegevensbeschermingsautoriteit-kan-google-boete-opleggen-tot-6-miljard-euro) stimuleren de ongerustheid over deze internationale datafluxen.
Een compliance risico is bijgevolg een gespreksonderwerp in vele Europese bedrijven. Is het uitwisselen van persoonsgegevens door bedrijven met een moederbedrijf buiten de grenzen van EU, Amerika in het bijzonder, wel conform met GDPR?
Wat directies ervaren als een bedrijfsrisico, is in essentie een dieper geworteld wantrouwen in niet-Europese mogendheden en hun drang om (onder meer) EU-burgers te bespioneren. Onthullingen zoals deze van Edward Snowden, die documenten over geheime spionageactiviteiten van de Amerikaanse NSA lekte, stimuleren deze gedachte. Hij verklaarde onder meer hoe de NSA wereldwijd online-communicatie bewaakt met het computerprogramma PRISM.
Wanneer is een dataflux conform de GDPR?
Deze en andere berichten zorgen ervoor dat Europese bedrijven zich de vraag moeten stellen of en onder welke voorwaarden een informatieflux naar niet-Europese, en in het bijzonder Amerikaanse bedrijven, wel in overeenstemming is met GDPR. Of anders gesteld: brengen we de bescherming van de persoonlijke levenssfeer van burgers in gevaar wanneer we gegevens uitwisselen met niet-Europese partners?
Voor dergelijke macro-economische vragen verwachten we in de eerste plaats dat Europa zelf, samen met haar (Amerikaanse) handelspartner, een antwoord zoekt. Dit kan zich dan vertalen in een zogenaamd ‘adequaatheidsbesluit’
(https://www.gegevensbeschermingsautoriteit.be/professioneel/thema-s/internationaal-gegevensverkeer/overdrachten-buiten-de-eu-met-bescherming). Vandaag bestaan dergelijke besluiten met enkele niet-Europese landen, maar niet met Amerika. Het is dus aan de bedrijven zelf om bij gebruik van Amerikaanse (cloud) technologiepartners na te gaan in welke mate een risico op inzage door Amerikaanse inlichtingendiensten de Europese privacyregels zou schenden.
Het EDPB zes-stappenplan
Aan de hand van volgend stappenplan, gepubliceerd door het Europees Comité voor Gegevensbescherming (EDPB), kan een bedrijf het risico van een gegevensflux inschatten:
Stap 1: Breng alle informatiefluxen buiten EU in kaart
Stap 2: Controleer of er een adequaatheidsbesluit bestaat of op welke andere door GDPR voorgeschreven manier de persoonsgegevens kunnen worden uitgewisseld
Stap 3: Analyseer de regelgeving van het niet-EU land en ga na of er specifieke risico’s bestaan, zoals inzage door autoriteiten
Stap 4: Neem bijkomende maatregelen om de persoonsgegevens te beschermen, zoals encryptie of pseudonimisering van de gegevens
Stap 5: Indien bijkomende maatregelen nodig zijn om persoonsgegevens te beschermen, dien je deze te verankeren in de overeenkomsten
Stap 6: Herevalueer op gezette tijdstippen de vorige stappen
Meer weten?
Wil je meer weten over hoe je concreet aan de slag kan gaan met al deze stappen? Kom dan naar onze tweedaagse opleiding GDPR impact assessments: DTIA & DPIA.