In een eerder artikel hebben we al besproken dat het EU-US Privacy Shield nietig is verklaard. Dit heeft tot gevolg dat persoonsgegevens niet zomaar doorgegeven mogen worden aan personen of organisaties die gevestigd zijn in de Verenigde Staten. Voor jouw onderneming kan dit flinke consequenties hebben. Wanneer je gebruik maakt van Amerikaanse software of websites wordt de privacy nu niet meer voldoende gewaarborgd. In dit artikel zullen we uitleggen hoe je als ondernemer alsnog kunt zorgen voor voldoende waarborging.
Gevolgen nietigverklaring
Met het EU-US Privacy Shield was het voor Europese bedrijven mogelijk om met circa 5500 Amerikaanse bedrijven persoonsgegevens uit te wisselen. Toch vond het Europees Hof van Justitie dat de privacy niet voldoende beschermd werd in de VS. Dit komt voornamelijk door de Amerikaanse wetgeving; overheidsinstanties hebben daar de bevoegdheid om gegevens in te zien, wat juist in strijd is met de AVG. Voor jou als ondernemer betekent dit dat je niet zomaar meer data kunt uitwisselen met de bedrijven die op de Privacy Shield lijst stonden. Het gaat om bijvoorbeeld marketingtools, e-maildiensten en cloudopslag. Het gevolg van deze nietigverklaring is dus vrij groot. Geen zorgen, wij gaan je op weg helpen.
Hoe nu verder?
Sommige Amerikaanse bedrijven maken nu duidelijke afspraken om te zorgen dat de privacy alsnog voldoende wordt gewaarborgd. Dit kan door zogenaamde standard contractual clauses (SCC’s). Onder andere SparkPost heeft een e-mail gestuurd met de boodschap dat er actie ondernomen wordt. Wanneer je gebruik maakt van een SCC wordt een modelcontract opgesteld met bepaalde afspraken en maatregelen. De privacy kan nu wél voldoende gewaarborgd worden, aangezien een modelcontract een gegronde reden is voor de doorgifte van persoonsgegevens. Ook staat op de website van SparkPost hoe de persoonsgegevens worden verwerkt, waar deze gegevens worden opgeslagen en wie daar toegang tot heeft.
Ook Squarespace, een veelgebruikte tool om websites mee te maken, heeft in hun ‘privacy policy’ verklaard dat zij nog steeds voldoet aan de regels van het Privacy Shield. Zij laat weten dat zij zich inzet om persoonlijke informatie uit de EU in overeenstemming met het Privacy Shield te behandelen, ook al is deze niet meer van toepassing. Bedrijven ondernemen dus actie om de privacy te blijven waarborgen.
Consequenties en alternatieven
Ook voor de Amerikaanse bedrijven zelf kan de nietigverklaring flinke consequenties hebben. De kans dat zij klanten gaan verliezen is erg groot wanneer er geen persoonsgegevens meer uitgewisseld mogen worden. Een optie voor de Amerikaanse bedrijven is om een zusterbedrijf in Europa op te richten. Zo kunnen bedrijven voldoen aan de Europese regelgeving en dus aan de AVG. In 2013 heeft AMS-IX al gebruik gemaakt van deze optie om de bemoeienis van de Amerikaanse overheid te voorkomen.
Bovenstaande optie is toch wel op initiatief van de Amerikanen. Wanneer je zelf voor de veiligste weg wilt kiezen, adviseren wij je om gebruik te maken van Europese alternatieven. Er bestaan circa tachtig Europese e-mail serviceproviders, enkele voorbeelden hiervan zijn:
- AdRom
- Mailkit
- EmailLabs
- ExpertSender
- SensorPro
Het zal je wellicht verbazen, maar ook Nederland levert een aantal e-mail serviceproviders. Het gaat om onder andere de volgende services:
- Webpower
- Flowmailer
- Inboxroad
- SMTPeter
- MailCampaigns
Ook voor de ‘Drive’ zijn er Europese alternatieven. Zo is ‘Liveschijf’ een Nederlandstalige online back-up voor het veilig opslaan, synchroniseren en delen van bestanden. Liveschijf is een samenwerking met de Noorse leverancier Jottacloud, waardoor je bestanden beschermd worden onder de strengste privacywetgeving. Daarnaast is Jottacloud een optie.
Het is dus echt mogelijk om op zoek te gaan naar Europese alternatieven. We hebben je er al een aantal voorgeschoteld, maar uiteraard kun je zelf ook op zoek gaan. Er is wel één valkuil. Bepaalde serviceproviders lijken van Europese afkomst, maar toch zit er ergens weer een moederbedrijf in Amerika, waardoor het dus alsnog onder de Amerikaanse regelgeving valt. Let dus goed op of het wel écht Europees is!
Eigenwijs?
Wanneer je toch gebruik blijft maken van een Amerikaanse serviceprovider zonder SCC, dan voldoe je simpelweg niet aan de AVG. Je bent in overtreding. Dit betekent dat de Autoriteit Persoonsgegevens je een boete mag geven. De boetes kunnen oplopen tot een bedrag van 20 miljoen óf 4% van de wereldwijde omzet.
Van Amerikaanse naar Europese software
Wij adviseren om over te stappen naar Europese serviceproviders. Je voldoet dan aan de regels van de AVG en het scheelt je een hoop moeite omdat je niet hoeft te werken met de modelcontracten. Let bij het uitzoeken van een alternatief vooral op het feit of het écht Europees is.