NA UITSPRAAK HOF VAN JUSTITIE RISKEREN BEDRIJVEN TORENHOGE BOETES
STRENGE VOORWAARDEN VOOR UITWISSELEN DATA MET AMERIKA Veilig omgaan met persoonsgegevens en met bedrijfsgevoelige informatie krijgt sinds GDPR en cyber security issues steeds meer aandacht van bedrijven. Vanuit Europa kwam op dat vlak recent een nieuwe kopzorg bij. Het Hof van Justitie oordeelde namelijk dat data uitwisselen met Amerikaanse bedrijven niet zomaar kan. DATA IS NOOIT VEILIG IN DE VS, OORDEELT HOF Heel wat technologiebedrijven zitten in de VS en er is dan ook heel wat data-export of export van persoonsgegevens van de EU naar de VS. Iedereen gebruikt immers diensten als Google, Microsoft, Mailchimp, Salesforce, Hubspot of LinkedIn of andere en zeer vaak worden daarbij gegevens uitgewisseld met die bedrijven, al is het maar omdat data over hun servers loopt. Amerikaanse bedrijven konden tot zeer recent persoonsgegevens uitwisselen met Europese klanten op basis van een overeenkomst tussen de EU en de VS waarin Amerikaanse bedrijven een gelijk niveau van databescherming beloven als het niveau dat GDPR in de EU biedt. Dat systeem noemde het “Privacy Shield”.
AUTEUR:
B A R T VA N D E N B R A N D E – SIRIUS LEGAL VEEMARKT 70 2800 MECHELEN
Precies dat Privacy Shield werd deze zomer door het Europees Hof vernietigd in het zogenaamde “Schrems II arrest (Max Schrems is de man die de zaak startte) omdat Amerikaanse inlichtingendiensten systematisch en op grote schaal data monitoren uit bijvoorbeeld e-mails en cloudopslagdiensten op basis van bijvoorbeeld de CLOUD Act en de FIS Act, waardoor data nooit ‘veilig’ is in de VS.
IMMENSE BOETES BIJ NIET-CONFORME PARTNERS De beslissing van het Hof van Justitie heeft grote gevolgen. Duizenden Amerikaanse bedrijven mogen plots geen persoonsgegevens van Europese burgers meer bewaren of verwerken op basis van dat Privacy Shield. Het gaat dan bijvoorbeeld om uw cloudopslagdiensten, hostingdiensten, online marketing tools, CRM’s, boekhoudpakketten, ERP’s, call centers, etc... Europese bedrijven die deze diensten blijven gebruiken riskeren immense boetes en als er zich enige vorm van datalek zou voordoen bij zo’n niet-conforme partner in de VS, dreigen de betrokken Europese bedrijven bovendien op te draaien voor alle aan zo’n datalek verbonden schade, bovenop de reeds vernoemde boetes.
PG 48
JURISTENPOOL ■
DATA ASSESSMENT NODIG Europese bedrijven moeten volgend op dit arrest dringend aan de slag met het inventariseren van hun datastromen: Welke data wordt verwerkt? Hoe ‘gevoelig’ is die data? Welke tools worden daarvoor gebruikt? Zijn de bedrijven achter die tools GDPR compliant? Kunnen ze garanderen dat mijn data in de EU blijft én dat ze veilig opgeslagen wordt? Zijn er alternatieve aanbieders die wél veilig werken of kunnen we een andere rechtsgrond vinden in plaats van het verdwenen Privacy Shield? Hoe je daarmee aan de slag moet als bedrijf, lees je op onze website https://siriuslegaladvocaten.be/diy-legal/ We bieden er ook gratis een vendor assessment form aan die je kan downloaden en uitsturen naar je leveranciers om precies in kaart te brengen hoe zij met je data omgaan. Het formulier is intussen op een maand tijd honderden keren gedownload en we zijn er zeker van dat ook u er uw voordeel mee kan doen.
Vragen rond gegevensexport onder GDPR of hulp nodig bij een audit van jouw lopende contracten? Contacteer Sirius Legal.
