SURF Taskforce Beyond Privacy Shield
Het Europese Hof van Justitie heeft het EU-VS Privacy Shield ongeldig verklaard. Dit heeft grote gevolgen voor het gebruik van diensten door SURF en zijn leden. Alleen door samen te werken kunnen we verder komen in dit complexe onderwerp. Dit doen we in de Taskforce Beyond Privacy Shield. Lees wat de Taskforce doet en hoe we te werk gaan.
EU-VS Privacy Shield ongeldig
Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie de afspraken in het kader van het EU-VS Privacy Shield ongeldig verklaard. Als gevolg hiervan is er een complexe situatie ontstaan als het gaat om het uitwisselen van persoonsgegevens naar de VS en naar andere landen waarmee de EU geen geldige afspraken heeft over de bescherming van persoonsgegevens. Iedere doorgifte van persoonsgegevens van EU-burgers aan de Verenigde Staten, die plaatsvindt op grond van het Privacy Shield, is namelijk niet meer rechtmatig. Dit heeft acute gevolgen voor bestaande contractafspraken en inkooptrajecten die gebruik maken van het Privacy Shield.
Standard Contractual Clauses lossen de problemen niet op
Met het wegvallen van het Privacy Shield moeten organisaties terugvallen op andere instrumenten voor de doorgifte van persoonsgegevens, zoals de zogenaamde Standard Contractual Clauses (SCC’s). Het gebruik van SCC’s is echter problematisch. Het Hof heeft in zijn uitspraak namelijk aangegeven dat SCC's alleen ingezet mogen worden als in de praktijk een ‘gelijkwaardig beschermingsniveau’ kan worden geborgd. De impact van de uitspraak beperkt zich overigens niet tot de VS, maar raakt ook aan de gegevensuitwisseling met landen buiten de EER.
Samen werken aan aanbevelingen voor veilige uitwisseling van persoonsgegevens
Binnen de Taskforce Beyond Privacy Shield werken we als onderwijs- en onderzoekssector samen om te bepalen hoe we het beste met deze situatie kunnen omgaan. We werken gezamenlijk aan aanbevelingen en best practices voor een veilige internationale uitwisseling van persoonsgegevens en alternatieven voor het EU-VS Privacy Shield. SURF en de leden kunnen deze aanbevelingen en best practices gebruiken binnen de eigen organisatie.
Hulpmiddelen
We hebben het volgende al opgeleverd:
- Een stappenplan om de datadoorgiften naar de VS te verantwoorden, met daarin:
- een handreiking "Inventariseren datadoorgiften VS" (pdf)
- 18 use cases use cases waarin de ongeldigverklaring van het EU-VS Privacy Shield gevolgen heeft voor de rechtmatigheid van de datadoorgifte. Inclusief root cause analysis en mitigerende maatregelen.
- Een handreiking voor aanvullende maatregelen bij datadoorgiften naar de VS. Dit zijn maatregelen die mogelijk verplicht gesteld kunnen worden aan de data-exporteur en/of data-importeur.
Leden van de Taskforce Beyond Privacy Shield
In de Taskforce Privacy Shield zitten experts vanuit alle sectoren in onderwijs en onderzoek: mbo, hbo, wo, umc’s en onderzoeksinstituten.
| Marlon Domingus (voorzitter) | Erasmus Universiteit Rotterdam |
| Agnieszka Buursma | NHL Stenden |
| Annemarie Arnaud de Calavon | Alfa-college |
| Boudien Sieperda | Universitair Medisch Centrum Groningen |
| Henk van Wijk | Radboud Universiteit |
| Ingeborg ten Oever | Breda University of Applied Sciences |
| Jan van Alphen | Universitair Medisch Centrum Utrecht |
| Joëlle Versluis | Koninklijke Nederlandse Akademie van Wetenschappen |
| Luc Petersen | HAN University of Applied Sciences |
| Moswa Herregodts | Tilburg University |
| Peter Vermeijs | MBO Raad |
| Remy van den Boom | TNO |
| Wim Snippe | Hogeschool Windesheim |
| Henk Swaters | University of Twente |
In de Taskforce zitten verder namens SURF:
- Bas Dittner, projectleider en legal counsel procurement & contracting SURF
- Niels Huijbregts, functionaris gegevensbescherming SURF
- Samantha van den Hoek, procesorganisatie
Leden van de Taskforce Beyond Privacy Shield
Werkgroepen
De Taskforce werkt in een aantal werkgroepen aan de volgende opdrachten:
- Handreiking samenstellen voor:
- het inventariseren van bestaande doorgiften van persoonsgegevens op basis van het ‘EU-VS Privacy Shield’ naar de VS
- het borgen van het volledige en actuele inzicht van de instelling in diens doorgiften van persoonsgegevens naar de VS voor de toekomst
- Use cases samenstellen die om actie van de instelling vragen vanwege de ongeldigverklaring van het Privacy Shield
- Per use case een onderbouwde analyse maken van de onderliggende problematiek en de bijbehorende mitigerende contractuele, technische en organisatorische maatregelen.
- Een algemene disclaimer bij de handreikingen op, die in hoofdlijnen zegt: de instelling wordt geadviseerd, maar blijft zelf verantwoordelijk.
- Verklarende begrippenlijst en lijst met relevante en verdiepende literatuur opstellen.
Eerste advies voor inkoopteams
Voorafgaand aan de oprichting van de Taskforce Beyond Privacy Shield, heeft SURF een adviesrapport uitgebracht. Dit rapport bevat praktische aanbevelingen voor inkoopteams van instellingen, over lopende contracten en inkooptrajecten waarbij doorgifte van persoonsgegevens aan de Verenigde Staten een rol (kan) spelen.
Na publicatie van dit advies heeft de European Data Protection Board (EDPB) aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen (landen buiten de EU). Deze zijn nog niet verwerkt in het document. De Taskforce zal een update van het document en verdere uitwerkingen maken.
Meer informatie
Wil je meer weten over de activiteiten van de Taskforce Beyond Privacy Shield? Neem dan contact op met Bas Dittner.