Taskforce Beyond Privacy Shield

In juli 2020 verklaarde het Europese Hof het EU-VS Privacy Shield ongeldig. Dit had grote gevolgen voor het gebruik van clouddiensten door SURF en haar leden. Er ontstond meteen een complexe situatie rondom het veilig en verantwoord uitwisselen van persoonsgegevens met de VS.

Om dit binnen de onderwijs- en onderzoekssector goed op te pakken en te bepalen hoe we het beste met de situatie konden omgaan, is de Taskforce Beyond Privacy Shield (hierna 'Taskforce Privacy') in het leven geroepen.

Standard Contractual Clauses lossen de problemen niet op

Met het wegvallen van het Privacy Shield moeten organisaties terugvallen op andere instrumenten voor de doorgifte van persoonsgegevens. Denk aan de zogenaamde Standard Contractual Clauses (SCC’s). Het gebruik van SCC’s is alleen een probleem, want het Hof heeft in de uitspraak namelijk aangegeven dat SCC's alleen mogen worden ingezet als daarmee in de praktijk een ‘gelijkwaardig beschermingsniveau’ kan worden geborgd. De impact van de uitspraak beperkt zich trouwens niet tot de VS, maar raakt ook aan de gegevensuitwisseling met landen buiten de EER.

Taskforce Privacy - Periode 2020-2025

In de jaren die volgden heeft de Taskforce Privacy allerlei aanbevelingen gedaan en producten en best practices opgeleverd voor veilige, verantwoorde internationale uitwisseling van persoonsgegevens. De basis hiervoor is het vijfstappenplan van de Taskforce, gebaseerd op het stappenplan van de EDPB.

Die stappen zijn:

Stap 1 - Bepaal om welke doorgiftes het gaat
Stap 2 - Stel de juridische basis voor de doorgifte vast
Stap 3 - Bepaal of de juridische basis effectief is voor de doorgifte
Stap 4 - Bepaal of je aanvullende maatregelen kunt nemen als dat nodig is en welke dat zijn
Stap 5 - Kan het niet, stop dan de doorgifte, anders: implementeer de maatregelen
Stap 6 - Evalueer regelmatig of het beschermingsniveau nog voldoende is

Voor stappen 1 en 2 zijn het document 'Toetsing van de doorgifte van persoonsgegevens' en de handreiking 'Inventariseren datadoorgiften VS' ontwikkeld. Voor Stappen 3, 4 en 5 zijn beschikbaar:

  • 13 usecases beschreven voor Transfer Impact Assessments (TIA's) waarin de ongeldigverklaring van het EU-VS Privacy Shield gevolgen heeft voor de rechtmatigheid van de doorgifte. Er zijn oorzaak-/gevolganalyses en mitigerende maatregelen opgenomen.
  • informatie over het nemen van aanvullende maatregelen bij datadoorgiften naar de VS. Dit zijn maatregelen die mogelijk kunnen worden verplicht aan de data-exporteur of de -importeur.
Opgeleverd materiaal stappenplan (PDF)

Stappen 1 en 2

- Toetsing van de doorgifte van persoonsgegevens en
- Handreiking Inventariseren datadoorgiften VS

Stappen 3, 4 en 5 - Usecases

Risico's en maatregelen
Per use case worden de stappen 3, 4 en 5 doorlopen. Op een generiek niveau worden de risico's ingeschat en mogelijke mitigerende maatregelen benoemd. Op basis hiervan biedt de handreiking een  onderbouwde en gedocumenteerde afweging (een root cause analysis). Deze laat zien of er een effectief transfermechanisme is voor de use case, of aanvullende maatregelen vereist zijn en zo ja welke. Ook wordt aangegeven welke informatie je moet verstrekken aan degenen die betrokken zijn bij de betreffende verwerking.

Afweging overnemen
Als instelling kun je deze afweging overnemen en daarbij voor de specifieke doorgifte aspecten meenemen die op use case-niveau niet zijn meegenomen: de aard, reikwijdte, context en doeleinden van de verwerking en met de risico’s voor de rechten en vrijheden van natuurlijke personen.

Onderwijs
Usecase 1 - Studentenuitwisseling - Doordat de student in de VS gaat studeren, moeten er persoonsgegevens met de universiteit in de VS worden uitgewisseld
Usecase 2 - Onderwijsgegevens in de cloud - Denk bijvoorbeeld aan Blackboard, portfolio's
Usecase 3 - Online proctoring - Digitaal toezicht bij het maken van toetsen en examens
Usecase 4 - Learning analytics - Het meten, verzamelen, analyseren en rapporteren van en over data van leerlingen en hun context, het analyseren van het leerproces.
Usecase 5 - Studieresultaten
Usecase 6 - Online of videocollege, werkgroep

Onderzoek
Usecase 7 - Samenwerkingsverbanden
Usecase 8 - Onderzoeksgegevens verstrekken aan onderzoeksinstellingen

Ondersteuning/bedrijfsvoering
Usecase 9 - (Remote) support - Er is sprake van doorgifte wanneer er toegang vanuit de VS (of ander derde land) plaatsvindt om lokaal support te verlenen
Usecase 10 - Personeelsadministratie - Dit omvat veel persoonsgegevens, waaronder het BSN, en gevoelige informatie zoals salarisgegevens
Usecase 11 - Studentenadministratie
Usecase 12 - Financiële administratie -Dit kan persoonsgegevens bevatten als er leveranciers worden geregistreerd die een eenmanszaak zijn of zzp’er
Usecase 13 - Door Europese verwerker ingeschakelde subverwerker in de VS of ander derde land

Stappen 3, 4 en 5 - Aanvullende maatregelen

Op deze pagina lees je uitgebreide informatie over aanvullende maatregelen voor datadoorgifte aan de VS.

Leden van de Taskforce Privacy

Marlon Domingus (voorzitter) - Erasmus Universiteit Rotterdam
Agnieszka Buursma - NHL Stenden
Annemarie Arnaud de Calavon - Alfa-college
Boudien Sieperda - Universitair Medisch Centrum Groningen
Henk van Wijk - Radboud Universiteit
Ingeborg ten Oever - Breda University of Applied Sciences
Jan van Alphen - Universitair Medisch Centrum Utrecht
Joëlle Versluis - Koninklijke Nederlandse Akademie van Wetenschappen
Luc Petersen - HAN University of Applied Sciences
Moswa Herregodts - Tilburg University
Peter Vermeijs - MBO Raad
Remy van den Boom - TNO
Wim Snippe - Hogeschool Windesheim
Henk Swaters - University of Twente

In de Taskforce Privacy zitten verder namens SURF:

Helma de Boer, lead Privacy Expertise Centrum
Bas Dittner, projectleider en legal counsel procurement & contracting
Niels Huijbregts, Functionaris voor Gegevensbescherming

Taskforce Privacy vanaf 2025

Vanwege de geopolitieke ontwikkelingen sinds begin 2025*, werkt een werkgroep van de Taskforce Privacy aan een document waarin de gevolgen en standpunten over veilige gegevensuitwisseling met de VS voor de onderwijs- en onderzoekssector worden vervat.

* Kort na zijn aantreden tot president heeft Trump een aantal executive orders uitgevaardigd waarmee het onafhankelijke toezicht op privacy en security bij big tech en de juridische uitwisseling van persoonsgegevens verder onder druk zijn komen te staan.

Ten slotte

Voorafgaand aan de oprichting van de Taskforce Beyond Privacy Shield, heeft SURF een adviesrapport uitgebracht. Dit rapport bevat praktische aanbevelingen voor inkoopteams van instellingen, over lopende contracten en inkooptrajecten waarbij doorgifte van persoonsgegevens aan de Verenigde Staten een rol (kan) spelen.

Na publicatie van dit advies heeft de European Data Protection Board (EDPB) aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen (landen buiten de EU). Deze zijn nog niet verwerkt in het document. De Taskforce zal een update van het document en verdere uitwerkingen maken.

Lees het adviesrapport Ongeldigverklaring EU-US Privacy Shield en gevolgen voor contracten en inkooptrajecten.