Privacy Shield ongeldig verklaard: wat betekent dit voor uw gegevensstromen naar de VS?
Het EU-VS Privacy Shield was een overeenkomst tussen het Amerikaanse ministerie van Handel en de Europese Commissie over de uitwisseling van persoonsgegevens tussen bedrijven in de EU en de VS. Het Privacy Shield werd op 1 augustus 2016 van kracht.
Op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie (EU) echter dat de EU-VS privacyschild ongeldig in de Schrems II-zaak. Dit betekent dat organisaties in de EU kan niet langer persoonlijke gegevens doorgeven naar de Verenigde Staten (VS) op basis van het privacyschild.
De De Algemene Verordening Gegevensbescherming (GDPR) stelt dat persoonlijke gegevens mogen niet zomaar worden doorgegeven aan personen of organisaties in landen buiten de Europese Economische Ruimte (derde landen), zoals de VS. Dit is alleen toegestaan als het door de GDPR gegarandeerde beveiligingsniveau voor persoonsgegevens in die derde landen niet wordt ondermijnd.
Onze interne Consultant Governance & Security, Tom Koonen, heeft verder onderzoek gedaan naar de gevolgen van het vervallen van het Privacy Shield. Om je hierover zo goed mogelijk te informeren, heeft Tom gekeken naar de impact die dit kan hebben op zowel ons bedrijf als onze klanten.
Hoe gaat IRIS om met de ongeldigverklaring?
Tom stelt dat de ongeldigverklaring van het Privacy Shield geen gevolgen voor IRIS. Dit omdat IRIS geen gebruik maakt van het EU-VS Privacy Shield voor de verwerking van klantgegevens. Onze klantgegevens worden opgeslagen en beheerd op onze eigen systemen binnen de EER of met een derde partij binnen de EER.
Welke gevolgen heeft de ongeldigverklaring van het privacyschild voor klanten van iManage?
We kunnen stellen dat onze iManage klanten hoeven geen actie te ondernemen onze diensten te blijven gebruiken in overeenstemming met de Europese wetgeving. De bestaande contractuele verplichtingen bieden klanten al overlappende bescherming in het kader van zowel de SCC's als het Privacy Shield. Het gebruik van de SCC's als wettelijk mechanisme voor doorgifte werd niet beïnvloed. Wat betreft de extra zorgvuldigheid in verband met dergelijke overdrachten, omvatten de bestaande contractuele verplichtingen van iManage (en, om duidelijk te zijn, de manier waarop we werken) al aanvullende technische en organisatorische maatregelen die iManage heeft om risico's te beperken, inclusief, maar niet beperkt tot, het toepassen van dezelfde gegevensbeschermingsnormen over de hele wereld (gecertificeerd volgens ISO27701), het akkoord gaan met het opslaan van gegevens in bepaalde geografische regio's, het afdwingen van sterke toegangscontroles en het versleutelen van alle gegevens.
Wat nu?
De Europees Comité voor gegevensbescherming (EDPB) onderzoekt de praktische gevolgen van de uitspraak. En wat mogelijke volgende stappen zouden kunnen zijn. Op korte termijn zal de EDPB richtlijnen geven over aanvullende maatregelen die organisaties in modelcontracten kunnen opnemen. Voel u in de tussentijd vrij om neem contact op met Tom als je vragen hebt over het Privacy Shield of een gesprek wilt over het verbeteren van governance en beveiliging binnen je eigen organisatie.
Hoe we kunnen helpen
Op IRIS Nederland we nemen informatiebeheer serieus. Informatie is de bron van elke organisatie en vereist daarom intelligente, toekomstbestendige oplossingen die voldoen aan de behoeften van organisaties en hun gebruikers. Die belofte komen we onze klanten al meer dan 20 jaar na. Of je nu een nieuwe document- of een andere informatiebeheeroplossing wilt implementeren: wij hebben de ervaring om je bij zo'n project van begin tot eind te ondersteunen.
Neem contact op met ons als je meer wilt weten over hoe onze oplossingen en diensten kan uw organisatie efficiënter, veiliger en slimmer laten werken.
Over de auteur
