“Het Privacy Shield met de Verenigde Staten is ongeldig verklaard”. Alle privacy experts zie je hierover schrijven op social media. Maar het Privacy Shield, wat is dat eigenlijk? Is dat vergelijkbaar met het Rocket Shield van de VS? Nee, niet echt. Beide schilden moeten bescherming bieden, maar het Privacy Shield beschermt onze persoonsgegevens die worden verwerkt in de VS en het raketschild beschermt ons tegen een puberende dictator uit Noord- Korea.

Wat is het Privacy Shield?
Het Privacy Shield had als doel om het delen van persoonsgegevens met bedrijven, bijvoorbeeld leveranciers van software in de VS eenvoudiger te maken. Daarnaast konden bedrijven uit de VS op basis van het Privacy Shield certificeren en aantoonbaar maken dat zij persoonsgegevens voldoende beschermen. 

Wat betekent dit nu?
Het Privacy Shield is een soort van contract tussen Europa en de VS. Nu het Privacy Shield ongeldig is verklaard en je neemt diensten af bij een leverancier die aangesloten is bij het Privacy Shield, betekent dit dat persoonsgegevens niet meer in de VS mogen worden verwerkt. Gebeurt dit nog wel, dan voldoe je niet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). 

Wil je weten welke bedrijven aangesloten zijn bij het Privacy Shield? Dit kun je controleren op deze site

Wat moet je hier nu mee doen?
Je moet nagaan of je gebruik maakt van partijen uit de Verenigde Staten en of die met persoonsgegevens van jouw klanten werken. Denk hierbij bijvoorbeeld aan clouddiensten zoals Microsoft, een marketingtool zoals MailChimp, of een Facebook tegel (logo met link) op je website. Deze acties moet je uitvoeren:

  1. Breng de externe partijen in beeld. Dit kun je doen aan de hand van het register van verwerkingen, het overzicht van alle verwerkersovereenkomsten en/of de lopende contracten met externe partijen.
  2. Controleer welke partijen uit de VS komen.
  3. Ga na of deze partij persoonsgegevens van jouw klanten/ medewerkers verwerkt.
  4. Controleer of de persoonsgegevens ook in de VS worden opgeslagen (cloud/ hoofdkantoor).
  5. Worden er persoonsgegevens in de VS verwerkt? Schort dan verwerking (tijdelijk) op en stop met het uitwisselen van persoonsgegevens!
  6. Beoordeel of het contract met de huidige partij kan worden beëindigd of aangepast.

Ons advies? Ga op zoek naar een alternatief: (het liefste) een partij binnen de Europese Economische Ruimte (EER).

Hulp nodig bij in het kaart brengen van de externe partijen en/ of het beoordelen van de (verwerkers) overeenkomsten? Legal Office kan je hierbij helpen met onze contractendesk en privacyrechtdesk. Meer weten? Neem dan contact op met ons.

Over de auteur
Indra van der Wolf Legal consultant
Over de auteur
Sophie Simons Legal Consultant
Gerelateerde artikelen
Alle artikelen