Het is een speciale dag vandaag, namelijk de Dag van de Privacy. Vorig jaar schreven wij al over de oorsprong van deze dag, vandaag beschouwen we de internationale trends en ontwikkelingen op het gebied van privacy. Het doel van deze dag, die zowel in Europa als in de Verenigde Staten (VS) gevierd wordt, is bewustwording creëren. Vandaag staan we daarom stil bij de vraag hoe bewust er wereldwijd om wordt gegaan met persoonsgegevens, en meer specifiek met grensoverschrijdende gegevensstromen.
Eén trend is duidelijk zichtbaar, steeds meer organisaties zullen het mogelijk maken om gegevensverwerkingen volledig te lokaliseren. Zo heeft Palantir (een Amerikaans softwarebedrijf) aangekondigd alle gegevensverwerkingen voor Britse klanten, zoals NHS England en Ministerie van Defensie, te verplaatsen van de VS naar het Verenigd Koninkrijk (VK). Dit doen zij, vooruitlopend op wat deskundigen noemen, een tsunami van regelgeving die grensoverschrijdende gegevensstromen beïnvloedt.
Tsunami van regelgeving
We kunnen niet meer ontkennen dat in een tijd van toenemende wet- en regelgeving grensoverschrijdende uitwisseling van persoonsgegevens op z’n zachtst gezegd een uitdaging kan zijn. Niet al deze wetten zullen hetzelfde zijn. Zeker als organisaties tegelijkertijd te maken krijgen met wetgeving zoals de Algemene verordening gegevensbescherming (AVG) in de Europese Economische Ruimte (EER), Cross-Border Privacy Rules in Asia-Pacific en niet te vergeten Amerikaanse wetgeving.
Actievoerders Max Schrems en Edward Snowden vinden dat het simpelweg niet mogelijk is voor leveranciers uit de VS om AVG-proof te zijn vanwege de Amerikaanse wetgeving die nog steeds massa surveillance mogelijk maakt. In de praktijk zien we dat de druk op doorgifte van persoonsgegevens naar de VS toeneemt. In navolging van een klacht van Max Schrems lijkt zelfs het einde van Google Analytics in zicht. De Oostenrijkse privacy toezichthouder oordeelde namelijk dat het gebruik van Google Analytics in strijd is met de AVG omdat persoonsgegevens niet voldoende worden beschermd tegen surveillance in de VS.
Lokaliseren van gegevensverwerkingen
Naast Palantir is ook Microsoft bezig met een soortgelijke stap voor de Europese markt. Microsoft heeft aangekondigd dat klanten voor eind 2022 een optie krijgen om gegevens in de EER op te slaan en te verwerken, beter bekend als de EU Data Boundary. Zowel zakelijke klanten als consumenten krijgen deze mogelijkheid. Naar eigen zeggen zijn hun huidige diensten in overeenstemming met de Europese wet- en regelgeving. Maar zij willen aan de wensen van hun Europese klanten toekomen door klanten meer controle te geven over hun gegevens. Om deze belofte waar te kunnen maken is Microsoft onder meer bezig met het bouwen van extra datacenters in Zweden en België en daarnaast een uitbreiding van het personeel voor klantenondersteuning binnen de EER.
Doorgifte blijft uiteraard mogelijk
Ondanks dat meerdere organisaties hun gegevensverwerkingen lokaliseren, blijft het uiteraard ook mogelijk om persoonsgegevens door te geven naar landen buiten de EER. Veel is mogelijk, zolang u het maar goed regelt. Wij helpen u daarom graag bij het opstellen van de benodigde Standard Contractual Clauses of het uitvoeren van een Data Transfer Impact Assessment. Uiteraard houden wij de internationale ontwikkelingen op het gebied van gegevensuitwisseling goed in de gaten. Voor nu wensen wij u nog een fijne Dag van de Privacy!
Meer lezen over dit onderwerp? Lees verder:
