Deze zomer werd het Privacy Shield verworpen door het Europese Hof. Dat betekent dat we officieel geen persoonsgegevens meer mogen uitwisselen met Facebook, Google, Mailchimp en een hele hoop andere partijen. Hoe zit het precies en wat moet je daar nu mee?

Sinds een paar jaar hebben we in Europa de AVG (of GDPR). Vast wel eens van gehoord. Een Europese afspraak ter bescherming van persoonsgegevens. Toch is daarmee niet alles voor elkaar. Want gegevens blijven niet altijd in Europa. E-mailadressen en andere gegevens staan wereldwijd op (mail)servers.

We mogen data uitwisselen met landen die veilig geacht worden, dit is geregeld in het adequaatheidsbesluit. Maar de VS vallen buiten deze regeling. En juist in Amerika zijn veel softwarebedrijven die onze gegevens graag gebruiken. Daarom heeft de EU met de VS afspraken gemaakt rondom gegevensverwerking: het EU-VS-privacyschild. Daarin legden ze vast hoe de privacy van Europese burgers beveiligd is. Mooi, geregeld, dachten we. Maar nee.

Inlichtingendiensten

Deze zomer zette het Europese Hof een streep door dit ‘Privacy Shield’. De privacy wordt onvoldoende gewaarborgd, volgens de rechtbank. De grootste uitdaging zit hem in de fysieke locatie van de gegevens. Als de gegevens op een Amerikaanse server staan, kan de softwarepartij wel allerlei maatregelen hebben getroffen om de data te beveiligen, maar de Amerikaanse inlichtingendienst kan toegang vorderen tot alle gegevens. En dat is onaanvaardbaar volgens de Europese rechtbank.

En nu? Want iedereen werkt met Amerikaanse bedrijven samen. Google, Facebook, Mailchimp en allerlei andere kanalen zitten standaard in ons marketingpakket. En steeds meer bedrijven werken met Office 365. Je adresgegevens in Excel in de cloud. Kan dat dan nog wel?

Officieel niet.

Let wel, er is niet meteen een datalek, maar de juridische situatie is veranderd.

Wat moet je nu doen?

1. Laat je klant, donateur of bezoeker weten dat je ermee bezig bent. ICTrecht.nl stelt voor om deze tekst te gebruiken in de privacyverklaring:

“We zijn bekend met de uitspraak van het Hof van Justitie van de EU van 16 juli 2020 met implicaties voor de doorgifte van persoonsgegevens (link naar uitspraak). We zijn momenteel aan het onderzoeken hoe we dit het beste kunnen ondervangen. We hebben privacy zeer hoog in het vaandel staan en proberen er alles aan te doen om tot een passende oplossing te komen. Als we een passende oplossing hebben, zullen we je hierover informeren via deze privacyverklaring. Heb je vragen over de verwerking van jouw persoonsgegevens? Neem dan contact met ons op, via de contactgegevens in deze privacyverklaring.”

Daarmee laat je merken dat je er bovenop zit, je de ontwikkelingen serieus neemt en je zorgvuldig met de gegevens omgaat.

2. Maak een overzicht om welke software het gaat. Zoek uit waar deze partijen hun gegevens opslaan. Let op: er zijn ook Europese diensten die hun gegevens in Amerika op een server hebben gezet.
3. Zoek uit of er goede Europese alternatieven zijn die wel AVG-proof opereren en overweeg over te stappen.
4. Is dat te ingrijpend? Je kunt ervoor kiezen om het af te wachten. Want het gaat om zoveel diensten dat de kans groot is dat er een juridische oplossing wordt gevonden. Maar dat kan wel even duren… en tot die tijd ben je illegaal bezig. Je kunt een boete krijgen van de Autoriteit Persoonsgegevens.

Wij houden in ieder geval de berichtgeving in de gaten en als er interessante ontwikkelingen zijn laten we je dat weten.

Wil je er meer over lezen? Kijk dan eens op ICTrecht.nl.

Meer weten?

Wil je meer weten over social media of ben je benieuwd welk social media kanaal interessant is voor jou organisatie? Laat het me weten, ik denk graag met je mee!