Belangrijke wijzigingen voor IT-contracten als gevolg van het nieuwe verbintenissenrecht

Webinar op 16 maart 2023

Privacy en gegevensbescherming:
in conflict met de GBA

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Fraudebestrijding binnen de eigen organisatie

Webinar on demand

Privacy Shield – a never ending story? (deJuristen)

Auteur: Kris Seyen (deJuristen)

In de nasleep van Schrems II hebben we er al vaak op gewezen dat de transfer van persoonsgegevens tussen de EU en de US, op zijn minst “problematisch” is te noemen.

Voor (tech)ondernemers viel die boodschap niet steeds in goede aarde, en was er zelfs een zekere “therapeutische hardnekkigheid” waarneembaar die zich vertaalde in “het zal wel zo’n vaart niet lopen”.

Krijgen zij gelijk?

De US aan zet: het Executive Order

Deze stroming van positivisme zal op zijn minst aan kracht toenemen, nu President Biden recent een “executive order” heeft getekend die de implementatie van een nieuw EU/US Data Privacy Framework mogelijk moet maken.

We moeten nochtans opletten niet te snel van stapel te lopen, en de lessen uit het verleden in acht nemen. Deze “executive order” wil immers nog niet zeggen dat er al meteen een nieuw “privacy shield” is, en we opnieuw kunnen overgaan naar business as usual.

Integendeel. Deze stap vormt slechts een onderdeel in een groter spel, waarbij de Amerikaanse overheid probeert tegemoet te komen aan een specifiek bezwaar dat in het Schrems II arrest door het Europese Hof van Justitie werd opgeworpen.

De EU is gecharmeerd en “ontwerpt” een nieuw adequaatheidsbesluit

Na het executive order was het aan de Europese Commissie om te oordelen of deze stappen voldoende zijn om een nieuwe adequaatheidsbeslissing te rechtvaardigen. De Europese Commissie moet hierbij op een slappe koord dansen, en een evenwicht vinden tussen een transatlantisch pakt en de verzuchtingen van het privacy-activisme dat meer dan ooit bloeit op Europese bodem. Niet enkel Max Schrems ligt op de loer – ook de European Data Protection Board heeft al eerder aangegeven zeer kritisch te zullen kijken naar dergelijke nieuwe adequaatheidsbesluiten.

Inmiddels heeft de Europese Commissie echter haar ei gelegd, en werd een ontwerp adequaatheidsbesluit gepubliceerd. Een procedurele stap die gretig aangewend wordt door allerlei belanghebbenden om met veel bombarie aan te kondigen dat dit vervelende conflict nu toch wel bijna van de baan is.

Maar is dat ook zo? Het ontwerp gaat nu immers eerst naar de European Data Protection Board voor een finaal advies. Daarna moet de Commissie groen licht krijgen van een comité dat bestaat uit vertegenwoordigers van de EU-lidstaten. Bovendien heeft het Europees Parlement een toetsingsrecht op besluiten inzake adequaatheid. En pas dan zou de Europese Commissie een definitief besluit kunnen nemen. We zijn dus zo ver nog niet.

Een definitieve beslissing is dan ook niet te verwachten in de eerstkomende maanden. En mocht de beslissing positief zijn, dan kan vandaag reeds met grote waarschijnlijkheid gesteld worden dat deze beslissing vanuit privacy-activistische hoek opnieuw zal aangevochten worden voor het Europese Hof van Justitie. Een Schrems-III is dus zeker geen fantasie.

Wat nu? Wat is het risico-perspectief?

We benaderen de GDPR adviesverlening voor onze klanten steeds vanuit een afgewogen risico-perspectief.

De ontwikkelingen en initiatieven die de Europese Commissie neemt, betekenen dan ook dat het risico (op non-compliance met de GDPR regels) wellicht een stukje kleiner is geworden. Het risico is echter niet weggenomen!

Integendeel, met de puzzelstukjes die vandaag op tafel liggen, schatten we zowel de waarschijnlijkheid (“de kans dat er iets gebeurt”) als de impact (“wat is dan het gevolg van een incident”) nog steeds als eerder hoog in. De reden daarvoor is het groeiende privacy-bewustzijn, de luide stem van het privacy-activisme, en de duidelijke standpunten tot op vandaag van de toezichthoudende autoriteiten.

Conclusie?

Wil je een foutloze implementatie van de GDPR verplichtingen, ook voor je datastromen naar de US, dan ga je nog steeds een belangrijke afweging moeten maken.

  • Zijn deze datastromen echt noodzakelijk voor me?
  • Zijn er alternatieven beschikbaar die de data binnen de EER houden?
  • En als het echt niet anders kan, en je data gaat naar de US: kan ik de nodige extra contractuele en technische waarborgen inbouwen, en hierover transparant zijn naar de data-subjecten?

Wat betreft die extra waarborgen raden wij het volgende aan:

  • Een uitdrukkelijk schriftelijk engagement van de verwerker om geen persoonsgegevens door te geven aan de Amerikaanse overheid zonder toestemming;
  • de installatie van een verregaand encryptie mechanisme ter garantie dat geen persoonsgegevens zouden doorgegeven worden aan de Amerikaanse overheid. We adviseren dan BYOK / HYOK / KYOK waarbij deze steeds in beheer is van de gegevensverantwoordelijke.

Bron: deJuristen