• Nieuws

Hoe te voldoen aan de privacyregels als u een Amerikaanse leverancier heeft?

07 juli 2016
IT & privacy

Veel leveranciers van IT-diensten zijn van Amerikaanse origine. Denk aan Microsoft, IBM, Oracle, Salesforce, Apple en Google. Om diensten van deze leveranciers te kunnen gebruiken, geven we veel persoonsgegevens door aan die leveranciers, zoals gegevens van werknemers en klanten. U moet daarom rekening houden met een aantal Europese privacyregels:

  • Doorgifte van de gegevens mag alleen als de verdere verwerking voldoet aan de Europese normen. De EU en de VS hebben daarvoor onlangs nieuwe afspraken gemaakt in het EU-US Privacy Schild. U moet nagaan of en op welke manier uw leverancier voldoet aan de eisen van het Privacy Schild of dat u een Data Transfer Agreement moet afsluiten. U moet uw werknemers of klanten hierover informeren.
  • Inzage in de persoonsgegevens door Amerikaanse autoriteiten mag als dat in overeenstemming met de Wbp gebeurt. Dat is lastig omdat Amerikaanse autoriteiten de gegevens (ook als ze in een Europees datacenter zijn opgeslagen) mogelijk kunnen inzien, zonder dat ze daarbij voldoen aan de in Europa geldende waarborgen. U heeft dan te maken met de USA FREEDOM Act (de opvolger van de PATRIOT Act). U moet uw werknemers en klanten informeren over hoe u voldoet aan de Europese regels en afspraken maken met uw leverancier hoe zij omgaan met dergelijke inzageverzoeken.

Doorgifte van gegevens buiten Europa alleen als er passende waarborgen zijn

Hoofdregel is dat persoonsgegevens alleen in een land buiten Europa mogen worden opgeslagen of verder verwerkt, als dat land een passend beschermingsniveau heeft voor de verwerking van de gegevens. Als dat niet het geval is, moeten bedrijven voor de doorgifte toestemming vragen aan de betrokkene of aparte Data Transfer Agreements sluiten voor de doorgifte. Dat leidt allebei tot heel veel administratieve rompslomp.

De Europese Commissie (EC) vindt dat de VS geen passend beschermingsniveau heeft. Tot eind 2015 werd aangenomen dat Amerikaanse bedrijven die voldeden aan de Safe Harborprincipes, wel een passend beschermingsniveau boden en dus “Europese gegevens” mochten opslaan. Volgens de Europese rechter bood dat “Safe Harbor-framework” echter onvoldoende waarborgen.

EU/U.S. Privacy Schild vervangt het Safe Harbor-framework voor doorgifte van gegevens naar de VS

De EC en de Amerikaanse overheid hebben inmiddels een akkoord bereikt over een nieuw raamwerk voor de doorgifte van persoonsgegevens naar de VS. Dit EU-US Privacy Schild biedt meer waarborgen voor betrokkenen voor de bescherming van persoonsgegevens, zoals een opt-out mogelijkheid en een Amerikaanse ombudspersoon, die klachten kan behandelen. Als uw Amerikaanse leverancier voldoet aan de eisen in het Privacy Schild, is doorgifte naar de VS zonder de aanvullende Data Transfer Agreement weer mogelijk. Helemaal safe is deze oplossing overigens wellicht niet; het is onzeker of de Europese rechter vindt dat het Privacy Schild wel voldoende waarborgen biedt.

Welke maatregelen moet u nemen bij doorgifte aan Amerikaanse leveranciers?

  • U moet nagaan of en op welke wijze uw leverancier een passend beschermingsniveau voor de verwerking van de gegevens garandeert. Dat kan in de praktijk doordat de leverancier voldoet aan de verplichtingen van het EU-US Privacy Schild of door een Data Transfer Agreement met de EU Model Clauses te sluiten. Deze maatregel moet u ook nemen als u gebruik maakt van diensten van een niet-Amerikaanse leverancier waarbij persoonsgegevens mogelijk in de VS worden opgeslagen of kunnen worden ingezien,
  • U moet de betrokkene waarvan u de persoonsgegevens verwerkt wel informeren over de mogelijke doorgifte naar de VS. Dat kan door dit bijvoorbeeld in uw privacyverklaring te vermelden, eventueel met een link naar een website met nadere uitleg over de doorgifte. De meeste grote Amerikaanse leveranciers bieden deze uitleg aan (bijvoorbeeld Microsoft).

Inzage door Amerikaanse autoriteiten ook bij Europese dochters van Amerikaanse bedrijven

Ook als uw leverancier geen gegevens doorgeeft aan de VS, maar wel deel uitmaakt van een Amerikaans bedrijf, moet u rekening houden met aanvullende privacy-issues.

De Amerikaanse autoriteiten kunnen op grond van de USA FREEDOM Act bedrijven die systematisch zaken doen in de VS, verplichten tot inzage in gegevens die zij zelf maar ook hun zusterondernemingen in een in Europa gevestigd datacenter hebben opgeslagen. Uw leverancier zal in de praktijk gedwongen zijn te voldoen aan dergelijke inzageverzoeken. De Amerikaanse autoriteiten kunnen dus mogelijk de persoonsgegevens van uw werknemers en klanten inzien.

Welke maatregelen moet u nemen als u zaken doet met een leverancier met een Amerikaanse moeder?

  • U moet met uw leverancier afspreken dat deze u steeds informeert als er een inzageverzoek is en dat de leverancier bezwaar moet maken tegen inzageverzoeken. Daardoor is er waarschijnlijk een rechtmatige grondslag op grond van de Wbp voor het verlenen van inzage door de leverancier. En daarmee voldoet u aan uw verplichtingen op grond van de privacywet.
  • U moet de betrokkene waarvan u de persoonsgegevens verwerkt informeren over de mogelijke inzage door de Amerikaanse autoriteiten. Ook dat kan u doen door middel van uw privacyverklaring, eventueel met een link naar een website met nadere uitleg over de inzage verzoeken. Een aantal grote Amerikaanse leveranciers biedt deze uitleg ook aan (bijvoorbeeld Apple en Microsoft).

Wilt u meer weten over de privacyregels waarmee u rekening moet houden als u leveranciers van Amerikaanse origine heeft, neem dan contact op met het IT & privacy team van Ploum.