Privacy
Bekijk alle channels
  • Home
  • Privacy
  • Privacy Shield ongeldig: wat kun je doen?

Arjen van Eeuwen

DMCC
7.0k

Channel

Privacy

Achtergrond -

Privacy Shield ongeldig: wat kun je doen?

Nu het Privacy Shield ongeldig is verklaard, zijn veel organisaties zoekende wat ze nu wel of juist niet moeten doen. Veel bedrijven werken met Amerikaanse leveranciers. Om nu rigoureus alle samenwerkingen te stoppen, is een kostbare en soms onmogelijke opgave. Vier praktische acties die je nu kunt ondernemen om straks compliant te zijn.

Inventariseer welke Amerikaanse leveranciers je hebt

Vanuit het verwerkingenregister van de organisatie moet het relatief eenvoudig zijn om te achterhalen van welke Amerikaanse dienstverleners gebruik wordt gemaakt en welke (bedrijfs)processen geraakt worden. Er zou ook informatie in moeten staan over het hebben van een adequate verwerkersovereenkomst of andere afspraken over dataprivacy (zoals het Privacy Shield).

Onderzoek de mogelijkheid tot het sluiten van een SCC

Een alternatief voor het Shield is om met organisaties buiten de EU een standaardcontract voor dataprivacy af te sluiten, waarin de organisatie garandeert bepaalde waarborgen te treffen. De Europese Commissie biedt op haar website deze zogenaamde “Standard Contractual Clauses” (SCC’s) aan. Deze contracten zijn in principe nog steeds geldig. Een groot aantal leveranciers heeft deze contractuele bepalingen al opgenomen in de voorwaarden en overeenkomsten.

Maak een inschatting of de leverancier de afspraken uit de SCC kan naleven

Het Hof zegt in de uitspraak over het Privacy Shield dat je ook bij het sluiten van een SCC verplicht bent om na te gaan of de leverancier in dat land de afspraken ook echt kan naleven. Privacyvoorvechter Max Schrems heeft daarvoor op zijn website een vragenlijst gepubliceerd die je door je leveranciers in kunt laten vullen. Een groot aantal organisaties heeft zelf al verklaringen gepubliceerd en wij zetten er hieronder vast een aantal op een rij.

  • Salesforce geeft aan dat voor het grootste deel van hun klanten geen verdere actie is vereist nu het Privacy Shield ongeldig is verklaard. Door de ‘Salesforce Processor Binding Corporate Rules’ en de SCC’s, die zijn opgenomen in het ‘Data Processing Addendum’, kunnen organisaties nog steeds gebruik blijven maken van de diensten van Salesforce. Er zijn wel twee uitzonderingen:
    • Klanten die een ouder ‘Salesforce Data Processing Addenda’ hebben getekend waarin geen referentie is opgenomen naar de ‘Salesforce Binding Corporate Rules’ en de SCC’s.
    • Klanten die gebruikmaken van ‘Salesforce Tableau Online services’.

Voor deze klanten is het van belang dat zij de laatste versie van het ‘Data Processing Addendum’ ondertekenen en opsturen.

  • Microsoft stelt dat zij al jaren gebruikmaken van een dubbele bescherming: het Privacy Shield en de SCC’s. Door het wegvallen van het Privacy Shield zorgen de SCC’s ervoor dat organisaties Microsoft kunnen blijven gebruiken.
  • Google geeft aan per 12 augustus 2020 hun ‘Google Ads Data Processing Terms’, ‘Google Ads Controller-Controller Data Protection Terms’ en ‘Google Measurement Controller-Controller Data Protection Terms’ bijgewerkt te hebben met de relevante SCC’s.
  • Amazon maakt gebruik van SCC’s die zijn opgenomen in het ‘AWS GDPR Data Processing Addendum’, wat ook onderdeel is van de ‘AWS Service Terms’. Klanten van Amazon hoeven dus geen extra stappen te ondernemen.
  • Mailchimp heeft hun ‘Data Processing Addendum’ bijgewerkt zodat dit voldoet aan de eisen die worden gesteld. Het addendum is opgenomen in de algemene voorwaarden en hoeft niet ondertekend te worden. Wie Mailchimp gebruikt of een nieuw account aanmaakt, gaat akkoord met deze voorwaarden.
Kijk naar aanvullende maatregelen

De vraag is natuurlijk of de organisaties echt het beschermingsniveau van de SCC kunnen garanderen en de Amerikaanse inlichtingendiensten buiten de deur kunnen houden. Dat blijkt iedere keer toch het grote struikelpunt. En dat blijft waarschijnlijk nog wel even. Daarom moeten organisaties sowieso nadenken over welke data ze waar op willen slaan. Een e-mailadres voor de nieuwsbrief is natuurlijk wel iets anders dan de gegevens van leden van een patiëntenvereniging. Bij de laatste categorie wil je wellicht kijken naar Europese aanbieders. Maar er zijn ook extra waarborgen die je kunt treffen bij Amerikaanse bedrijven. Sommige Amerikaanse leveranciers bieden de mogelijkheid om data op te slaan op Europese servers en als deze mogelijkheid er is, zou u die altijd moeten aangrijpen. Ook is het voor sommige diensten mogelijk om data encrypted op te slaan. Ook dit is een goede extra beveiligingsmaatregel.

Over de auteur: Arjen van Eeuwen is director sales & operations bij DMCC.

Gerelateerd event

Emerce B2B Digital

Ontdek insights van Plieger, Coca Cola, Adyen en meer | Emerce B2B Digital

Bekijk sprekers
  • Datum: Donderdag 16 mei 2024
  • Locatie: Pakhuis de Zwijger, Amsterdam
Bekijk sprekers

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond

Gerelateerde items
Marketing

Geen nieuws? Deze zes vormen van content vinden journalisten wel relevant

Veel organisaties willen PR inzetten, omdat ze willen uitgroeien tot een autoriteit in hun markt. Vaak lopen ze tegen het volgende probleem aan: er zou niet genoeg nieuwswaardige content...
Marketing automation

Vijf technieken voor datagedreven en resultaatgerichte marketing anno 2020

“Datagedreven marketing maakte een verbazingwekkende groei door. Wat tien jaar geleden nog onmogelijk leek, is inmiddels gemeengoed. Het dynamische karakter van het vak vereist dat jij als marketeer continu...
E-commerce

Verdwijning btw-vrijstelling vraagt om standaardisatie in pakketvervoer

Vanaf 1 juli 2021 moeten consumenten btw betalen op al hun online aankopen, ook als die afkomstig zijn uit landen buiten de Europese Unie (EU). Op dat moment verdwijnt...