Adequaatheidsbesluit voor Verenigde Staten: wat betekent dit?
Goed nieuws! De Europese Unie en de Verenigde Staten hebben nieuwe afspraken gemaakt over de beveiliging van Europese persoonsgegevens. Deze staan in het Data Privacy Framework. Dit betekent dat je veilig persoonsgegevens kunt uitwisselen met leveranciers in de Verenigde Staten die zijn aangesloten.
Eerst een stukje geschiedenis
Tot medio 2020 was er een adequaatheidsbesluit voor organisaties in de Verenigde Staten die Privacy Shield gecertificeerd waren. Dat betekent dat een gewone verwerkersovereenkomst voldoende was voor de uitwisseling van persoonsgegevens. Vorig jaar heeft het Europese Hof van Justitie besloten dat de Privacy Shield certificering de bescherming van persoonsgegevens in de Verenigde Staten onvoldoende waarborgt. Het gevolg hiervan is dat uitwisseling van persoonsgegevens met de Verenigde Staten op basis van een gewone verwerkersovereenkomst in combinatie met die Privacy Shield certificering niet meer was toegestaan.
Wat waren de gevolgen hiervan?
Aan de verwerkersovereenkomsten moesten verplicht de Europese Modelcontracten (Standard Contractual Clauses) worden toegevoegd. Daarnaast moesten scholen voor de Verenigde Staten, net als voor andere landen buiten de EER zonder adequaatheidsbesluit, controleren of de wetgeving van dat land in combinatie met een EU-Modelcontract voldoende bescherming biedt. Voor de Verenigde Staten heeft het Europese Hof van Justitie geoordeeld dat die wetgeving in principe onvoldoende bescherming bood. Bij onvoldoende bescherming door de wetgeving moeten aanvullende maatregelen worden getroffen zoals goede versleuteling, om de risico’s tot een aanvaardbaar en laag niveau terug te brengen. Wanneer dat niet lukt, moet de verwerking worden beëindigd.
En nu: een nieuw adequaatheidsbesluit
De Europese Unie en de Verenigde Staten hebben nieuwe afspraken gemaakt over de bescherming van de rechten van EU-burgers en hun persoonsgegevens. Deze staan in het Data Privacy Framework. Op 10 juli 2023 heeft de Europese Unie besloten dat dit Framework voldoende informatie biedt. Daarom is er een adequaatheidsbesluit voor de Verenigde Staten aangenomen. Dit betekent dat je veilig persoonsgegevens kunt uitwisselen (op basis van een 'gewone' verwerkersovereenkomst) met leveranciers in de Verenigde Staten die bij het Framework zijn aangesloten.
Moeten wij als school nu iets doen?
Hebben jullie een overeenkomst met leveranciers uit de Verenigde Staten of willen jullie een nieuwe overeenkomst sluiten? Controleer dan het volgende:
- Worden er persoonsgegevens uitgewisseld met de Verenigde Staten?
- Controleer of de leverancier is aangesloten bij het Data Privacy Framework. Vul de naam van de leverancier in en druk op enter.
De leverancier is wel aangesloten
- Als er al een EU-Modelcontract is gesloten met de leverancier, dan hoef je deze niet op te zeggen. Je kunt het als aanvulling op het adequaatheidsbesluit blijven gebruiken. Je mag ook nieuwe EU-Modelcontracten blijven sluiten met leveranciers, als aanvulling op het adequaatheidsbesluit. Sommige leveranciers zullen daar zelf ook mee komen.
- Een DTIA is niet nodig.
- Leg in je verwerkersovereenkomst vast dat de leverancier zich verplicht aan moet sluiten én aangesloten moet blijven bij het Data Privacy Framework. Die verplichting moet de leverancier ook opleggen aan de Amerikaanse subverwerkers.
De leverancier is niet aangesloten
- Het is verplicht om een EU-Modelcontract af te sluiten.
- Een DTIA is verplicht. Het uitvoeren van een DTIA zal door het adequaatheidsbesluit wel eenvoudiger zijn.
- Denk na over vragen zoals: is het EU-Modelcontract of een ander mechanisme uit artikel 46 van de AVG opgenomen bij de verwerkersovereenkomst? Zijn er aanvullende maatregelen, zoals versleuteling of pseudonomisering, getroffen? Is het risico voldoende laag?
Voor overeenkomsten die afgesloten zijn via APS IT-diensten, hebben we deze controles al uitgevoerd. We stellen de informatie uit die controles en over hoe de leverancier voldoet aan de AVG beschikbaar, zodat je de restrisico's zelf kunt beoordelen.