Binnen iedere onderneming worden persoonsgegevens verwerkt in de zin van de Algemene verordening gegevensbescherming (‘AVG’). De kans is groot dat er binnen een organisatie sprake is van internationale doorgifte van persoonsgegevens. Hoe deel je persoonsgegevens rechtsgeldig en veilig?
Zo is er bijvoorbeeld sprake van een internationale doorgifte van persoonsgegevens als een onderneming deel uitmaakt van een internationaal concern en er is er een database met klantgegevens of personeelsdossiers waar alle vestigingen toegang toe hebben. Ook als een onderneming geen internationaal karakter heeft, kan er toch sprake zijn van een internationale doorgifte van persoonsgegevens. Dit is bijvoorbeeld het geval als werknemers in de cloud werken en de servers waar de persoonsgegevens worden opgeslagen staan in het buitenland. Hoe deel je persoonsgegevens rechtsgeldig en veilig met derde landen, waaronder Amerika en het VK?
Amerika
Het EU-US Privacy Shield was de juridische basis waarmee persoonsgegevens tussen Amerikaanse en Europese bedrijven konden worden doorgegeven. Op 16 juli 2020 zette het Europese Hof echter een streep door het Privacy Shield in het Schrems 2 arrest omdat dit verdrag onvoldoende bescherming voor de persoonsgegevens van Europese burgers kon garanderen. Sindsdien is het niet meer toegestaan om persoonsgegevens uit te wisselen met Amerika op basis van het Privacy Shield.
Verenigd Koninkrijk
Het Verenigd Koninkrijk heeft de Europese Unie op 31 januari 2020 verlaten. Daardoor is het VK niet meer gebonden aan de AVG. Het delen van persoonsgegevens met het VK is voorlopig toegestaan en zal op korte termijn worden geformaliseerd. De verwachting is dat dat er binnenkort een adequaatheidsbesluit voor het VK volgt.
Voor organisaties is het belangrijk om de internationale doorgifte van persoonsgegevens kritisch te evalueren en indien nodig direct actie te ondernemen om eventuele sancties te vermijden. Het volgende stappenplan kan hierbij worden gebruikt:
HR maakt gebruik van een Amerikaanse HR-tool. Daarmee worden persoonsgegevens op een Amerikaanse server opgeslagen. Bekijk in eerste instantie of de leverancier ook de mogelijkheid biedt om de gegevens in de EU op te slaan. Vraag hier ook expliciet naar. Is dit niet het geval, bekijk dan of je deze gegevens kunt encrypten of pseudonimiseren. Je zou bijvoorbeeld de beoordelingsgespreken zo kunnen opslaan dat je niet weet over wie de beoordeling gaat. De sleutel voor het decoderen moet dan op een Europese server staan. De uiteindelijke verantwoordelijkheid om aan de privacyregels te voldoen ligt altijd bij de organisatie die de persoonsgegevens verwerkt.