Vorig jaar zette het Europese Hof een streep door het Privacy Shield verdrag. Met grote gevolgen voor organisaties die gebruik maken van een Amerikaanse (software)leverancier of data delen met een Amerikaanse onderneming. Wat is er precies veranderd en wat is wel en niet toegestaan op basis van het Privacy Shield?
Het is niet meer toegestaan om persoonsgegevens uit te wisselen met Amerika op basis van het Privacy Shield. Amerika is daarmee een ‘derde land’ geworden in de zin van de AVG. Hoe kun je als HR met je huidige software toch rechtsgeldig gegevens delen met derde landen?
“Het Privacy Shield was (relatief) overzichtelijk. Als een organisatie vroeg of ze persoonsgegevens met Amerika mochten delen dan kon ik in een openbaar register opzoeken of die organisatie Privacy Shield gecertificeerd was. Zo ja, dan gingen de lichten op groen en kon data in beginsel gedeeld worden. Sinds vorig jaar ligt dat dus anders. Het einde van het verdrag had direct een enorme impact op organisaties.”
Het EU-US Privacy Shield was de juridische basis waarmee persoonsgegevens tussen Amerikaanse en Europese bedrijven konden worden doorgegeven. Tot het Europees Hof van Justitie op 16 juli 2020 in de Shrems II uitspraak stelde dat dit verdrag onvoldoende bescherming kan garanderen en deze daarom ongeldig verklaarde.
Is er geen adequaatheidsbesluit is met het derde land, zoals nu in het geval van Amerika, dan kun je rechtsgeldig data delen met bindende bedrijfsvoorschriften of standaard contractsbepalingen.
Tijdens de lezing op 11 mei heeft Rens Goudsmit diverse topics besproken en ingezoomd op diverse vraagstukken. Lees het volledige artikel hier. Tevens is er een opname gemaakt van de lezing, bekijk de opname van dit webinar hier terug.