Home / Werkprocessen stroomlijnen / AVG / Wat betekent het ongeldig verklaren van het ‘Privacy Shield’ voor gemeenten?

Wat betekent het ongeldig verklaren van het ‘Privacy Shield’ voor gemeenten?

Op 16 juli heeft het Europese Hof van Justitie het ‘Privacy Shield’ nietig verklaard. Het hoogste Europese tribunaal oordeelde dat het verdrag de persoonsgegevens van Europeanen niet voldoende beschermt tegen het verwerken van die gegevens in de Verenigde Staten. Volgens de AVG hebben EU-inwoners daar weldegelijk recht op. Heeft deze uitspraak gevolgen voor gemeenten?

Gevolgen voor gemeenten in de praktijk

De gevolgen van de uitspraak door het Europese Hof zullen in de praktijk wel meevallen denken we. De modelcontractbepalingen blijven namelijk gewoon geldig. Dit zijn standaardvoorwaarden die door de EU en gegevensverwerkers zijn opgesteld en die aan de AVG voldoen. Als bedrijven zich aan deze voorwaarden houden, kunnen zij wel data blijven doorspelen naar de VS.

De diensten van Microsoft

Van alle Amerikaanse bedrijven is Microsoft waarschijnlijk het bedrijf dat de meeste diensten levert aan gemeenten. Bijvoorbeeld door cloudopslag en infrastructuur via Azure. En uiteraard ook Office 365. In de Microsoftvoorwaarden is dit modelcontract van de Europese Commissie geïncorporeerd.

Samenwerkingsverbanden moeten opletten

Het modelcontract heeft betrekking op de relatie ‘verantwoordelijke – verwerker’. Samenwerkingsverbanden verwerken persoonsgegevens in de hoedanigheid van verwerker ten opzichte van de verantwoordelijke gemeenten. Microsoft zou dan een ‘subverwerker’ zijn. Maar het modelcontract kent geen relatie ‘verwerker – subverwerker’. Daarom adviseren we samenwerkingsverbanden te controleren of zij door hun deelnemende organisaties gemachtigd zijn om namens hen met Microsoft de modelovereenkomst te sluiten. Zo niet, is het belangrijk dat alsnog te regelen.

Andere leveranciers zoals Google en Amazon

De betaalde diensten van Google en Amazon maken gebruik van een zelfde constructie als Microsoft. Maar voor de ‘gratis’ diensten van bijvoorbeeld Google (denk aan Analytics) of Facebook heeft de uitspraak wel grote gevolgen. Daar mogen gemeenten persoonsgegevens in principe niet meer mee delen. Het hof heeft ook besloten dat toezichthouders als de AP hier vanaf nu actief op moeten handhaven. We raden gemeenten daarom aan om te onderzoeken welke gegevensstromen naar de VS gaan en als er geen modelcontractbepalingen zijn afgesloten naar alternatieven te zoeken. Voor Analytics is er bijvoorbeeld Matomo .

De gevolgen voor de lange termijn

We verwachten overigens dat na deze uitspraak er wel weer een opvolger van het Privacy Shield zal komen, waarin de privacy dan wel volgens de AVG wordt gewaarborgd. Het Privacy Shield was tenslotte ook al een verbetering ten opzichte van de voorafgaande Safe Harbor Principles. De economische belangen voor zowel de VS als Europa zijn te groot om dit niet goed te regelen.

Wij delen kennis, tips en adviezen. Blijf op de hoogte.
Meld u aan voor de nieuwsbrief.

Of volg ons op LinkedIn.

Menno van der Horst
Menno van der Horst
Als Consultant analyseer ik de impact van ontwikkelingen op de organisatie- en informatievoorziening met mijn strategische en bedrijfskundige blik. In combinatie met mijn enthousiasme zorg ik voor gedegen en breed gedragen analyses en voorbereiding op veranderingen en professionalisering binnen het publieke domein. Meer informatie? 06 244 763 74
Lees meer blogs

Aanbevolen berichten