Cookie Deze website serveert cookies voor advertenties. Ga alleen door als u dit goed vindt.   |   Balk inklappen   |   Meer informatie

EU-US Privacy Shield

[ privacy-shield.nl ]

EU-US Privacy Shield

Op 12-7-2016 heeft de Europese Commissie de overeenkomst EU-US Privacy Shield voor het uitwisselen van persoonsgegevens aangenomen.
Deze overeenkomst is een vervanging van het Safe Harbor-verdrag dat op 6 oktober 2015 door het Europese Hof ongeldig was verklaard. Vanaf 1 augustus 2016 is het Privacy Shield geldig.

Aanvankelijk was de verwachting dat er een Safe Harbor 2.0 zou komen. De EU-US Privacy Shield is echter anders van opzet.
Op 2-2-2016 hadden de Europese Unie en de Verenigde Staten hierover al (een voorlopige) overeenstemming bereikt. De Europese privacy-toezichthouders gaven daarop aan dat de structuur ingewikkeld is en de verschillende onderdelen inconsistent zijn.

Privacy Shield De overeenkomst kan elk jaar worden bijgewerkt, indien nodig. De Amerikaanse overheid heeft o.a. toegezegd om geen grootschalige surveillance-operaties uit te voeren op data van Europeanen. De dataoverdachten van bedrijven zullen niet worden gebruikt door de inlichtingendiensten.
Amerikaanse bedrijven zullen gecontroleerd (kunnen) worden of ze aan de regels voldoen. Er komt een Amerikaanse ombudsman waar Europeanen met privacyklachten terecht kunnen.

Privacy Shield lijst

Amerikaanse bedrijven moeten zich aanmelden voor het Privacy Shield programma. Dat kan sinds 1 augustus 2016. Zodra de bedrijven gecertificeerd zijn is het niet nodig bij uitwisseling van persoonsgegevens een Europese Modelcontract met hen af te sluiten.
Er is een Privacy Shield lijst met deelnemers. Dit lijkt op de oude Safe Harbor lijst, alleen is het geen zelfregulering maar vinden er controles plaats. Er wordt vastgelegd hoe men Europese data behandelt en hoe het doorgeven ervan moet plaatsvinden. Doorgifte naar derde bedrijven is alleen onder strenge verplichtingen mogelijk. Bedrijven die non-compliant zijn worden van de lijst verwijderd.
Er komt een -Amerikaanse- ombudsman voor geschillen.

Meer informatie over doorgifte van persoonsgegevens

Certificering Privacy Shield

Voor het proces van zelf-certificering moet een bedrijf vijf punten in acht nemen:
  • Jurisdictie

    De organisatie moet onder de jurisdictie vallen van de Federal Trade Commission (FTC) of van de Department of Transportation (DOT).
  • Klachtenprocedure

    Organisaties moeten kiezen wat de klachtenprocedure wordt die Europeanen tegen hen kunnen voeren.
  • Contactpersoon

    Er moet een contactpersoon binnen de organisatie worden aangewezen voor vragen over privacy. De contactpersoon is het eerste aanspreekpunt binnen de organisatie bij een klacht. Er moet binnen 45 dagen een antwoord worden gegeven. In tweede instantie komt de onafhankelijke partij in beeld die de hierboven genoemde klachtenprocedure afhandelt.
  • Privacy-beleid

    Het privacy-statement moet worden aangepast voor het Privacy Shield. Er moet in ieder geval een verwijzing komen naar de website van het Privacy Shield
  • Verificatie mechanisme

    Publicatie van een mechanisme om te verifiëren dat de organisatie compliant is met de principes van het Privacy Shield.

Europees Modelcontract voor andere landen

Het EU-US Privacy Shield regelt de doorgifte van persoonsgegevens tussen Europa en Amerika. Voor andere landen is het Europees Modelcontract nodig om op een legale manier persoonsgegevens uit te wisselen.
Lees ook: alternatieven voor het exporteren van persoonsgegevens

Vergeet de verwerkersovereenkomst niet

Een verwerkersovereenkomst is áltijd vereist wanneer een verwerkingsverantwoordelijke (of verwerker) de verwerking van persoonsgegevens uitbesteedt aan een derde. Dit staat los van andere regelingen, zoals de EU-US Privacy Shield of een Europees Modelcontract.
Zie: verwerkersovereenkomst