Het Europese Hof van Justitie heeft het EU-VS Privacy Shield ongeldig verklaard. Dit heeft grote gevolgen voor het gebruik van diensten door SURF en zijn leden. Alleen door samen te werken kunnen we verder komen in dit complexe onderwerp. Dit doen we in de Taskforce Beyond Privacy Shield. Lees wat de Taskforce doet en hoe we te werk gaan.
Stappenplan verantwoording datadoorgiften naar VS
Het EU-VS Privacy Shield is ongeldig verklaard. Hoe ga je als instelling te werk om te borgen dat de doorgifte van data naar de VS toch voldoende beschermd is volgens de EU-wetgeving? De SURF Taskforce Beyond Privacy Shield helpt met een aantal handreikingen, gebaseerd op een stappenplan van de European Data Protection Board.
Stappenplan EDPB
De European Data Protection Board (EDPB) heeft een stappenplan ontwikkeld dat je kunt doorlopen om te zorgen dat je datadoorgifte naar de VS blijft voldoen aan de Europese wetgeving:
Stappenplan voor de verantwoording van datadoorgifte naar de VS, bron: EDPB
Klik om de afbeelding in origineel formaat te zien
Bij verschillende stappen uit dit schema heeft de Taskforce Beyond Privacy Shield een handreiking uitgebracht die je helpt de stap te doorlopen.
Stap 1 en 2: doorgiften en juridische basis vaststellen
Inventariseren
De Taskforce biedt de handreiking “Inventariseren doorgiften naar VS” (pdf) voor stap 1 en 2 uit het stappenplan van de EDPB. Met dit draaiboek kun je voor je instelling inzichtelijk maken in welke gevallen er sprake is van doorgiften naar de VS. Ook stel je vast op basis van welk juridisch mechanisme deze doorgiften plaatsvinden. Je komt zo te weten hoeveel overeenkomsten mogelijk aangepast moeten worden. Hieronder vallen in ieder geval de overeenkomsten die zijn gebaseerd op het EU-VS Privacy Shield.
Informatie toegankelijk houden
Het draaiboek adviseert verder hoe je de informatie die je vergaart in stap 1 en 2, toegankelijk houdt in de toekomst. Je instelling borgt hiermee dat er ook in de toekomst eenvoudig inzicht is in de verplichtingen met leveranciers in derde landen. Dat is nuttig zal zijn voor inkoop, contractbeheer, licentiemanagement, maar ook voor de directeur die de verplichting is aangegaan en tijdig weet wanneer de overeenkomst moet worden verlengd, of dat er een alternatieve dienst moet worden gezocht.
Download de handreiking “Inventariseren doorgiften naar VS” (pdf)
Stap 3, 4 en 5: effect van de doorgifte en mitigerende maatregelen
18 use cases
De Taskforce biedt een handreiking voor de stappen 3, 4 en 5 uit het stappenplan van de EDPB, in de vorm van een ‘effectbeoordeling van de gegevensdoorgifte', of 'Transfer Impact Assessment' (TIA). Hiertoe heeft de Taskforce 18 scenario's (use cases) geïdentificeerd, die uit de inventarisatie van stap 1 en 2 zou kunnen komen voor onderwijsinstellingen.
Risico's en maatregelen
Per use case worden de stappen 3, 4 en 5 doorlopen. Op een generiek niveau worden de risico's ingeschat en mogelijke mitigerende maatregelen benoemd. Op basis hiervan biedt de handreiking een onderbouwde en gedocumenteerde afweging (een root cause analysis). Deze laat zien of er een effectief transfermechanisme is voor de use case, of aanvullende maatregelen vereist zijn en zo ja welke. Ook wordt aangegeven welke informatie je moet verstrekken aan degenen die betrokken zijn bij de betreffende verwerking.
Afweging overnemen
Als instelling kun je deze afweging overnemen en daarbij voor de specifieke doorgifte aspecten meenemen die op use case-niveau niet zijn meegenomen: de aard, reikwijdte, context en doeleinden van de verwerking en met de risico’s voor de rechten en vrijheden van natuurlijke personen.
Bekijk per use case het advies en de onderliggende root cause analysis