SURF Taskforce Beyond Privacy Shield

Het Europese Hof van Justitie heeft het EU-VS Privacy Shield ongeldig verklaard. Dit heeft grote gevolgen voor het gebruik van diensten door SURF en zijn leden. Alleen door samen te werken kunnen we verder komen in dit complexe onderwerp. Dit doen we in de Taskforce Beyond Privacy Shield. Lees wat de Taskforce doet en hoe we te werk gaan.

studente kijkt op haar laptop

Use cases datadoorgiften naar VS

De SURF Taskforce Beyond Privacy Shield heeft een aantal use cases beschreven waarin de ongeldigverklaring van het EU-VS Privacy Shield gevolgen heeft voor de rechtmatigheid van de datadoorgifte. Voor elke use case maken we een root cause analysis, die onder andere mitigerende maatregelen biedt.

Onderbouwde afweging

Voor elke use case is of komt een root cause analysis beschikbaar. Dat is een onderbouwde en gedocumenteerde afweging, die het volgende laat zien:

  • Is er een effectief transfermechanisme voor de use case?
  • Zijn er aanvullende maatregelen vereist, en zo ja welke?
  • Welke informatie moet je verstrekken aan degenen die betrokken zijn bij de betreffende verwerking.

Als instelling kun je deze afweging overnemen en daarbij voor de specifieke doorgifte aspecten meenemen die op use case-niveau niet zijn meegenomen: de aard, reikwijdte, context en doeleinden van de verwerking en met de risico’s voor de rechten en vrijheden van natuurlijke personen.

Use cases met bijbehorende root cause analysis

We zijn de use cases nog aan het uitwerken. De use cases die gereed zijn, kun je hieronder vinden achter de pdf-links.

Onderwijs

1. Studentenuitwisseling; doordat de student in de VS gaat studeren, moeten er persoonsgegevens met de universiteit in de VS worden uitgewisseld (pdf)

2. Onderwijsgegevens in de cloud (bijvoorbeeld Blackboard, portfolio's)

3. Proctoring: digitaal toezicht bij het maken van toetsen en examens

4. Learning analytics: het meten, verzamelen, analyseren en rapporteren van en over data van leerlingen en hun context, het analyseren van het leerproces.

5. Studieresultaten

6. Online of videocollege, werkgroep

Onderzoek

7. Samenwerkingsverbanden

8. Onderzoeksgegevens verstrekken aan onderzoeksinstellingen

9. Onderzoeksgegevens met bijzondere persoonsgegevens verstrekken aan onderzoeksinstellingen

10. Lichaamsmateriaal/samples verstrekken aan onderzoeksinstellingen

11. Onderzoeksgegevens met volledige DNA-informatie/materiaal verstrekken aan onderzoeksinstellingen; dit is altijd herleidbaar

12. Samenwerking met een partner in derde land middels een gemeenschappelijke share-omgeving

Zorg

13. Medische gegevens in de cloud

Ondersteuning

14. (Remote) support; er is sprake van doorgifte wanneer er toegang vanuit de VS (of ander derde land) plaatsvindt om lokaal support te verlenen

15. Personeelsadministratie; dit omvat veel persoonsgegevens, waaronder het BSN, en gevoelige informatie zoals salarisgegevens

16. Studentenadministratie

17. Financiële administratie; dit kan persoonsgegevens bevatten als er leveranciers worden geregistreerd die een eenmanszaak zijn of zzp’er

18. Door Europese verwerker ingeschakelde sub-verwerker in de VS of ander derde land