- Nieuws
- |
- 24 juli 2023
Het nieuwe Data Privacy Framework: wat betekent dit voor scholen?
Goed nieuws voor scholen die zaken (willen) doen met bedrijven in de VS of bedrijven die data opslaan in de VS. De Europese Commissie heeft op 10 juli 2023 namelijk het adequaatheidsbesluit voor het nieuwe Data Privacy Framework tussen de EU en Verenigde Staten aangenomen. Daarmee kunnen organisaties binnen de EER veilig persoonsgegevens doorgeven aan bedrijven in de VS die deelnemen aan het nieuwe Framework.
Door de redactie
Hoe zat het ook weer? Op 16 juli 2020 deed het Hof van Justitie van de Europese Unie uitspraak in de Schrems II-zaak. Het Privacy Shield en het doorgeven van persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten stonden centraal. Het hof bepaalde toen dat het Privacy Shield niet voldeed aan de eisen die de AVG stelt aan de bescherming van privacy van EU-burgers in de VS.
Op 10 juli 2023 heeft de EC (Europese Commissie) het adequaatheidsbesluit voor het nieuwe Data Privacy Framework (DPF) tussen de EU en Verenigde Staten (VS) aangenomen. Het Framework is de opvolger van het eerdere EU-VS Privacy Shield dat door het Europese Hof van Justitie met haar Schrems II-uitspraak in 2020 ongeldig werd verklaard, omdat de rechten van Europese burgers onvoldoende beschermd waren. De Europese Commissie heeft bepaald dat dit met het nieuwe Framework is opgelost. Dat betekent dat organisaties binnen de EER op basis van het nieuwe besluit veilig persoonsgegevens kunnen doorgeven aan bedrijven in de VS die deelnemen aan het nieuwe Framework. Dat is goed nieuws voor scholen die zaken (willen gaan) doen met bedrijven in de VS of bedrijven die data opslaan in de VS.
Welke bedrijven zijn aangesloten bij het DPF?
Controleer daarvoor de lijst met bedrijven die zijn aangesloten bij dit nieuwe framework. Als een bedrijf is aangesloten, hoeven geen aanvullende waarborgen voor gegevensbescherming, zoals SCC (Standard Contractual Clauses) te worden genomen en hoeft er geen DTIA (Data Transfer Impact Assessment) te worden uitgevoerd.
Hoe zit het met doorgifte aan bedrijven in de VS die niet zijn aangesloten bij het DPF?
Als een bedrijf niet is aangesloten bij het DPF, zijn nog steeds andere passende waarborgen (zoals SCC) nodig om persoonsgegevens aan dat bedrijf te kunnen doorgeven en zal er een Data Transfer Impact Assessment (DTIA) moeten worden uitgevoerd. Wel is het uitvoeren van een DTIA nu eenvoudiger geworden, omdat de waarborgen die de Amerikaanse regering heeft genomen op het gebied van nationale veiligheid ook van toepassing zijn op andere doorgifte-instrumenten.
Let op!
Bij wijzigingen in de bescherming van persoonsgegevens is het goed om te controleren of je privacystatement, je verwerkersovereenkomst en je register van verwerkingen nog met de praktijk overeenkomen.
Geldt het DPF ook voor andere landen buiten de EER?
Het DPF geldt alleen voor doorgifte naar de VS en niet naar andere landen buiten de EER. Voor doorgifte naar andere landen moet nog altijd gebruik gemaakt worden van andere passende waarborgen (zoals SCC).
En de toekomst?
Critici zijn van mening dat de problemen die kleefden aan het voormalige Privacy Shield niet volledig zijn weggenomen door het nieuwe Framework. Aangezien Max Schrems afspraken tussen de EU en de VS in het verleden al vaker met succes heeft aangevochten bij het Europese Hof van Justitie, bestaat de mogelijkheid dat dit zich zal herhalen. De toekomst zal moeten uitwijzen of het DPF een eventuele toekomstige rechterlijke toetsing kan doorstaan. Tot die tijd kunnen persoonsgegevens vanuit de EU op basis van dit Framework worden doorgegeven aan bedrijven in de VS.
Netwerk Informatiebeveiliging en Privacy po/vo
Wil je met collega’s die zich ook bezighouden met IBP op school, kennis en ervaringen delen, gebruikmaken van standaarddocumenten en met elkaar in gesprek? Meld je dan aan voor het Netwerk Informatiebeveiliging en Privacy po/vo.
Meer informatie en aanmelden