Privacy

Wat betekent de afschaffing van het Privacy Shield voor scholen?

Het Hof van Justitie heeft afgelopen jaar uitspraak gedaan over het Privacy Shield. Deze uitspraak gaat over de bescherming van persoonsgegevens van burgers uit de Europese Unie, die worden verwerkt in de Verenigde Staten. Het Hof heeft bepaald dat het Privacy Shield niet voldoet aan de AVG-eisen. In dit artikel lees je wat dit precies betekent voor scholen. 

Tot medio 2020 was er een adequaatheidsbesluit voor organisaties in de Verenigde Staten die Privacy Shield gecertificeerd waren. Dat betekent dat een gewone verwerkersovereenkomst voldoende was voor de uitwisseling van persoonsgegevens. Vorig jaar heeft het Europese Hof van Justitie besloten dat de Privacy Shield certificering de bescherming van persoonsgegevens in de Verenigde Staten onvoldoende waarborgt.Het gevolg hiervan is dat uitwisseling van persoonsgegevens met de Verenigde Staten op basis van een gewone verwerkersovereenkomst in combinatie met die Privacy Shield certificering niet meer was toegestaan. 

Belangrijk om te vermelden: alle leveranciers waarmee je via APS IT-diensten overeenkomsten kunt sluiten, hebben wij al geanalyseerd. Wij bieden scholen dan ook enkel diensten aan van leveranciers die aan deze eisen voldoen. 

Wat zijn hiervan de gevolgen?

Aan de verwerkersovereenkomsten moeten verplicht de Europese Modelcontracten – Standard Contractual Clauses – worden toegevoegd. Daarnaast moeten scholen voor de Verenigde Staten, net als voor andere landen buiten de EER zonder adequaatheidsbesluit, controleren of de wetgeving van dat land in combinatie met een EU Modelcontract voldoende bescherming biedt. Voor de Verenigde Staten heeft het Europese Hof van Justitie geoordeeld dat die wetgeving in principe onvoldoende bescherming biedt. Daarnaast moeten aanvullende maatregelen zoals goede versleuteling, worden getroffen om de risico’s tot een aanvaardbaar en laag niveau terug te brengen. Wanneer dat niet lukt, moet de verwerking worden beëindigd.

Wat moeten wij als school nu doen?

Hebben jullie een overeenkomst met leveranciers uit de Verenigde Staten, controleer dan het volgende:
  • Worden er persoonsgegevens uitgewisseld met de Verenigde Staten?
  • Zo ja, is het EU Modelcontract of een ander mechanisme uit artikel 46 van de AVG opgenomen bij de verwerkersovereenkomst?
  • Zijn er aanvullende maatregelen, zoals versleuteling of pseudonomisering, getroffen?
  • Is het risico voldoende laag?

Zoals we hierboven al even aanstipten, voor overeenkomst gesloten via APS IT-diensten is dit niet nodig. Het analyseren hiervan doen wij.