Th. Van Rijswijckplaats 7 - 2000 Antwerpen

03 203 44 00

Kleinhoefstraat 6 - 2440 Geel

014 63 95 70

Lid worden

Alle info over de Coronacrisis

Artikel, GDPR, Informatiesessie

Gebruikt u Zoom, Teams, Amazon of andere Amerikaanse diensten? Opgelet!

16 juni 2021

Vanaf 25 mei 2018 is de GDPR van toepassing op iedere onderneming in België. Dit komt omdat vrijwel iedere onderneming op grote schaal persoonsgegevens van verschillende categorieën personen verwerkt zoals werknemers, sollicitanten, contactpersonen bij klanten en leveranciers, consultants, consumenten, website bezoekers, … Uw onderneming is in dat opzicht een verwerkingsverantwoordelijke.

Er rusten op uw onderneming als verwerkingsverantwoordelijke een aantal verplichtingen. Één van die verplichtingen is dat uw onderneming enkel mag samenwerken met verwerkers die afdoende garanties bieden over het naleven van de GDPR.

Verwerker

Een verwerker is een natuurlijke persoon of een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Het gaat met andere woorden om een andere partij aan wie uw onderneming persoonsgegevens bezorgt met de instructie om ze te verwerken op de door uw onderneming bepaalde manier. Of uw medecontractant een ‘verwerker’ is zal afhangen van de context waarin er wordt samengewerkt.

Zo kunnen volgende dienstverleners een ‘verwerker’ zijn:

  • Informaticadienstenleverancier (op voorwaarde dat die toegang tot de gegevens heeft);
  • Sociaal secretariaat (loonadministratie);
  • Leverancier software (die ook instaat voor onderhoud);
  • Consultants (mits verwerking persoonsgegevens).

Het grote verschil tussen een verwerker en verwerkingsverantwoordelijke is dat deze laatste doel en middelen bepaalt van de verwerking. Dit betekent dat de verantwoordelijke bepaalt welke gegevens er worden verzameld en wat er met de gegevens gebeurt. Een verwerker heeft die vrijheid niet.

Verwerkersovereenkomst

De GDPR legt uw onderneming de verplichting op om een verwerkersovereenkomst te sluiten met al uw verwerkers. Vandaar onze aanbeveling om eerst op te lijsten wie uw verwerkers zijn en nadien een afzonderlijke ‘verwerkersovereenkomst’ af te sluiten met hen.

De inhoud van dergelijke ‘verwerkersovereenkomst’ is wettelijk bepaald (Art. 28.3 GDPR).

Wanneer uw onderneming nalaat om een verwerkersovereenkomst met haar verwerkers te sluiten, loert een sanctie om de hoek.

Gebruik van Amerikaanse verwerkers

Vermoedelijk staat u er niet vaak bij stil, maar de kans is reëel dat uw onderneming persoonsgegevens exporteert buiten de EU. Denk bijvoorbeeld aan Microsoft Teams en Zoom. Indien u voor uw onderneming gegevens opslaat in de Cloud (bv. Google drive) bestaat de kans op overdracht van die gegevens buiten de EU.

Dergelijke transfer van persoonsgegevens naar landen buiten de EU is aan een bijzonder regime onderworpen. Het bijzonder regime zorgt er voor dat persoonsgegevens enkel naar een verwerker buiten de EU kunnen worden overgebracht indien de wetgeving in het land van de verwerker een niveau van bescherming biedt dat gelijkwaardig is aan de GDPR.

De “Privacy Shield” bood dergelijk passend niveau van bescherming voor persoonsgegevens die vanuit de EU naar Amerika werden verzonden. Recent velde het Europees Hof van Justitie echter een arrest (SCHREMS II) waarin zij de Privacy Shield vernietigde.

Daardoor kan uw onderneming niet zomaar persoonsgegevens naar Amerika overbrengen. Dit is een enorm probleem softwarebedrijven en clouddiensten die daar gevestigd zijn en die we allemaal wel kennen.

TIA

In geval van een transfer van persoonsgegevens buiten de EU dient er een Transfer Impact Assessment (TIA) te worden uitgevoerd, waarbij een analyse wordt gemaakt van de wetgeving over persoonsgegevens in het land waar de gegevens worden overgebracht. Volgende vragen dienen door uw onderneming te worden beantwoord:

  • Welke persoonsgegevens maken wij over?
  • Welke risico’s bestaan er als die persoonsgegevens in handen van buitenlandse veiligheidsdiensten vallen?

Vermoedelijk zal uw onderneming bijkomende waarborgen moeten bieden om alsnog samen te mogen werken met verwerkers buiten de EU. Zulke waarborgen bestaan uit technische en organisatorische maatregelen. De organisatorische maatregelen bestaan uit het toevoegen van de standaardclausules van de Europese Comissie in uw verwerkersovereenkomst. Mogelijke technische maatregelen zijn: encryptie en hashing van de persoonsgegevens.

USA! USA! USA!

Wanneer u een TIA uitvoert, zal u op problemen stoten met de Amerikaanse wetgeving. Die laat namelijk toe dat haar veiligheidsdiensten een zeer vergaand inzagerecht hebben in de persoonsgegevens die de USA binnenkomen en verlaten. De gegevens van niet-Amerikaanse burgers, zoals u en ik, zijn in Amerika daardoor niet veilig waardoor dergelijke uitwisseling op grond van de GDPR niet toelaatbaar is.

Let wel: het is niet per definitie verboden om samen te werken met Amerikaanse providers van clouddiensten. Wel is het nodig dat men vooraf een grondige TIA doorvoert en voldoende bijkomende waarborgen inbouwt om de dataveiligheid te garanderen, zoals hierboven reeds werd omschreven.

Gebruikers van verwerkers met een hoofdzetel buiten de EU zouden er dan ook goed aan doen hun datastromen goed te analyseren en desnoods de verwerkersovereenkomst te heronderhandelen met het oog op “bijkomende waarborgen”.

Meer informatie?


Maarten De Voeght
Juridisch adviseur bouwrecht
03 203 44 03
maarten.devoeght@confederatiebouw.be

Dialog

Tekst

Ok Annuleer