Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

EU-VS Data Privacy Framework

Startpagina Woordenlijst EU-VS Data Privacy Framework

De Europese Commissie heeft deze week de invoering van het EU-VS Data Privacy Framework (EU-VS DPF) aangekondigd. Het EU-VS DPF herstelt een essentiële wettelijke grondslag voor gegevensstromen tussen de EU en de VS, nadat het Hof van Justitie van de Europese Unie het vorige EU-VS Privacy Shield ongeldig had verklaard als geldig mechanisme voor gegevensoverdracht onder EU-wetgeving. In dit artikel bespreken we wat het EU-VS DPF inhoudt, de principes, het beheer, toezicht en de handhaving ervan.

EU-VS Data Privacy Framework

Wat is het EU-VS Data Privacy Framework (EU-VS DPF)?

Het EU-VS DPF is een kader waarbij Amerikaanse organisaties zich committeren aan een reeks privacyprincipes om persoonsgegevens te beschermen die vanuit de Europese Unie naar Amerikaanse organisaties worden overgedragen.

Het kader is vastgelegd via een adequaatheidsbesluit, een van de instrumenten onder de Algemene Verordening Gegevensbescherming (GDPR) van de EU om persoonlijk identificeerbare informatie (PII) vanuit de EU over te dragen naar andere landen die een vergelijkbaar beschermingsniveau bieden als de Europese Unie.

Om in aanmerking te komen voor EU-VS DPF-certificering moeten organisaties akkoord gaan met het onderworpen zijn aan de onderzoeks- en handhavingsbevoegdheden van de Federal Trade Commission (FTC) of het Amerikaanse Department of Transportation (DoT). De EU-VS Data Privacy Framework Principles zijn direct van toepassing zodra een organisatie gecertificeerd is. Organisaties die op de EU-VS DPF-lijst staan, moeten jaarlijks opnieuw aantonen dat zij zich aan de principes houden.

Wat beschermt het EU-VS DPF?

Het EU-VS DPF biedt bescherming aan alle persoonsgegevens die vanuit de EU worden overgedragen aan organisaties in de VS die hun naleving van de principes van het kader, uitgegeven door het Department of Commerce, hebben gecertificeerd. Persoonlijk identificeerbare informatie zoals namen, e-mailadressen, telefoonnummers, enzovoort, wordt doorgaans door organisaties als Amazon, Meta (Facebook, Instagram, enz.), en Apple – allen gevestigd in de VS – van de EU naar de VS overgedragen.

Het kader maakt echter een uitzondering voor gegevens die zijn verzameld voor publicatie, uitzending of andere vormen van openbare communicatie van journalistiek materiaal, en informatie uit reeds gepubliceerde materialen die worden verspreid vanuit media-archieven.

Verwerkingsverantwoordelijken en verwerkers onder het EU-VS DPF

Het EU-VS DPF is van toepassing op organisaties in de VS die kwalificeren als verwerkingsverantwoordelijke of verwerker. Het kader definieert een verwerkingsverantwoordelijke als een persoon of organisatie die, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Verwerkers worden gedefinieerd als agenten die namens een verwerkingsverantwoordelijke handelen.

Gegevensverwerking onder het EU-VS DPF wordt gedefinieerd als elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonsgegevens, al dan niet geautomatiseerd, zoals het verzamelen, vastleggen, ordenen, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken of verspreiden, en wissen of vernietigen.

Het kader bepaalt dat Amerikaanse verwerkers contractueel verplicht zijn uitsluitend te handelen op instructie van een EU-verwerkingsverantwoordelijke en hen te ondersteunen bij het beantwoorden van verzoeken van individuen die hun rechten uitoefenen onder de principes van het kader. In het geval van subverwerking moet een verwerker een contract afsluiten met de subverwerker dat hetzelfde beschermingsniveau garandeert als de principes van het kader en stappen ondernemen om een correcte uitvoering te waarborgen.

EU-VS Data Privacy Framework Principles

De EU-VS DPF-principes zijn in wezen vereisten en rechten voor betrokkenen (d.w.z. EU-burgers en -inwoners) van wie de persoonsgegevens worden verwerkt door verwerkingsverantwoordelijken die onder dit kader vallen. De principes omvatten:

Doelbeperking en keuzeprincipe zorgen voor rechtmatige gegevensverwerking

Een van de belangrijkste bepalingen in het EU-VS DPF is dat alle PII op een rechtmatige en eerlijke manier moet worden verwerkt. Dit houdt in dat gegevens voor een duidelijk omschreven doel moeten worden verzameld en niet verder mogen worden gebruikt op een manier die hiermee in strijd is. Een organisatie mag persoonsgegevens dus niet hergebruiken voor een ander doel dan het oorspronkelijke of een later goedgekeurd doel, zoals overeengekomen met de betreffende persoon.

Bovendien vereist het keuzeprincipe dat als een organisatie PII voor een nieuw doel wil gebruiken, zelfs als dit doel aansluit bij het oorspronkelijke doel, of deze wil delen met een derde partij, de persoon die door de PII kan worden geïdentificeerd de mogelijkheid moet krijgen om het gebruik van de PII voor dit nieuwe doel te weigeren. Deze weigering, of opt-out, moet via een eenvoudige en toegankelijke methode mogelijk zijn.

Bijzondere categorieën persoonsgegevens moeten met uiterste zorg worden verwerkt

Dit principe benadrukt de noodzaak van speciale voorzorgsmaatregelen bij het verwerken van “gevoelige informatie”. Volgens het kader omvat dit persoonsgegevens die informatie geven over iemands gezondheidstoestand, ras of etnische afkomst, politieke opvattingen, overtuigingen, lidmaatschap van een vakbond, of andere informatie die door een derde partij als gevoelig wordt aangemerkt.

Het principe verplicht gecertificeerde organisaties onder het EU-VS DPF om alle gegevens die volgens de Europese privacywetgeving als gevoelig worden beschouwd, met hetzelfde niveau van zorgvuldigheid te behandelen. Organisaties moeten in essentie expliciete toestemming – een “opt-in” – verkrijgen van individuen om hun gevoelige informatie te gebruiken voor andere doeleinden dan waarvoor deze oorspronkelijk is verzameld of later is goedgekeurd. Uitzonderingen zijn alleen toegestaan in bepaalde omstandigheden, zoals wanneer verwerking van gevoelige gegevens noodzakelijk is voor juridische claims, medische zorg, diagnose, of wanneer het in het vitale belang van de persoon is, in overeenstemming met de reeds bestaande uitzonderingen onder de Europese privacywetgeving.

Gegevensnauwkeurigheid, dataminimalisatie en beveiliging houden gegevens vertrouwelijk en alleen zolang nodig

Dit principe onderstreept het belang van precisie, relevantie en beveiliging in data management. Het principe schrijft voor dat gegevens niet alleen actueel en correct moeten zijn, maar ook specifiek en in verhouding tot het beoogde doel. Daarnaast mogen de gegevens niet langer worden bewaard dan noodzakelijk is voor het beoogde gebruik. Net als bij het principe van gegevensintegriteit en doelbeperking benadrukt het principe van gegevensnauwkeurigheid, dataminimalisatie en beveiliging de noodzaak om gegevens te beperken tot wat relevant is voor het verwerkingsdoel, en te zorgen dat de gegevens volledig, accuraat en betrouwbaar zijn.

Met betrekking tot het bewaren van persoonsgegevens bepaalt het kader dat PII alleen identificeerbaar mag worden opgeslagen zolang dat nodig is voor het oorspronkelijk vastgestelde of later goedgekeurde doel door de betrokken persoon. Uitzonderingen hierop zijn specifieke doeleinden zoals archivering in het algemeen belang en statistische analyse, mits er voldoende waarborgen zijn getroffen.

Dit principe benadrukt ook het belang van beveiliging en stuurt organisaties aan om maatregelen te nemen die gegevens beschermen tegen ongeautoriseerde toegang, verlies of schade, rekening houdend met de bijbehorende risico’s en de aard van de gegevensverwerking. Het beveiligingsprincipe versterkt daarmee het belang van een redelijk en passend niveau van gegevensbeveiliging.

Transparantieprincipe benadrukt de noodzaak van voorafgaande kennisgeving aan betrokkenen

Het transparantieprincipe vereist dat betrokkenen geïnformeerd moeten worden over de belangrijkste kenmerken van de verwerking van hun persoonsgegevens. Organisaties moeten betrokkenen informeren over:

  • De deelname van de organisatie aan het DPF
  • Het type verzamelde gegevens
  • Het doel van de verwerking
  • Het type of de identiteit van derde partijen aan wie persoonsgegevens kunnen worden verstrekt en het doel daarvan
  • Hun individuele rechten
  • Hoe de organisatie te contacteren
  • Beschikbare mogelijkheden voor verhaal

Dit principe benadrukt de noodzaak van voorafgaande kennisgeving aan betrokkenen, die moet worden gegeven wanneer zij voor het eerst om hun persoonsgegevens wordt gevraagd of zo spoedig mogelijk daarna. Ook moeten betrokkenen worden geïnformeerd voordat hun gegevens voor een wezenlijk ander (maar compatibel) doel worden gebruikt dan waarvoor ze oorspronkelijk zijn verzameld, of voordat ze met een derde partij worden gedeeld.

Bovendien zijn organisaties verplicht hun privacybeleid openbaar te maken waarin wordt aangetoond dat zij zich aan deze principes houden. Ze moeten ook links opnemen naar de website van het Department of Commerce voor aanvullende informatie over certificering, rechten van betrokkenen, beschikbare geschiloplossingsmechanismen, de Data Privacy Framework-lijst van deelnemende organisaties, en de website van een geschikte alternatieve geschilbeslechter.

Individuele rechten geven betrokkenen zeggenschap over hun persoonsgegevens

Individuele rechten, oftewel rechten van betrokkenen, kunnen worden uitgeoefend tegenover degenen die gegevens beheren of verwerken. Dit principe omvat het recht op inzage in persoonsgegevens, het recht om bezwaar te maken tegen de verwerking van deze gegevens, en het recht om onjuiste gegevens te laten corrigeren of wissen.

“Toegang tot gegevens” betekent dat individuen informatie kunnen opvragen bij elke organisatie over de vraag of hun persoonsgegevens worden verwerkt, zonder dat zij daarvoor een reden hoeven op te geven. Zij hebben ook recht op informatie over het type persoonsgegevens dat wordt verwerkt, het doel van de verwerking en aan wie de PII wordt verstrekt. Op verzoeken om inzage moet tijdig worden gereageerd.

Individuen hebben het recht om hun gegevens te laten corrigeren of verwijderen als deze onjuist zijn of zijn verwerkt in strijd met de overeengekomen principes. Zij kunnen ook bezwaar maken tegen het gebruik van hun gegevens voor doeleinden die wezenlijk afwijken van het oorspronkelijke doel, en tegen het delen van hun gegevens met derden. Ook hebben zij het recht om zich op elk moment af te melden voor het gebruik van hun persoonsgegevens voor direct marketing.

Beperkingen op verdere doorgifte

Het beschermingsniveau dat wordt geboden aan persoonsgegevens die vanuit de Europese Unie naar organisaties in de Verenigde Staten worden overgedragen, mag niet worden ondermijnd door verdere doorgifte van deze gegevens aan een ontvanger in de Verenigde Staten of een ander land. Dit principe bepaalt dat elke verdere doorgifte alleen mag plaatsvinden:

  • Voor beperkte en gespecificeerde doeleinden
  • Op basis van een contract tussen de EU-VS DPF-organisatie en de derde partij (of een vergelijkbare regeling binnen een concern)
  • Alleen als dat contract vereist dat de derde partij hetzelfde beschermingsniveau biedt als gegarandeerd door de principes

Verantwoordingsprincipe zorgt dat organisaties naleving aantonen

Het verantwoordingsprincipe houdt in dat organisaties die gegevens verwerken, verplicht zijn passende technische en organisatorische maatregelen te nemen om volledige naleving van de privacyverplichtingen te waarborgen. Dit omvat aantoonbare naleving, met name richting de relevante toezichthoudende autoriteiten. Certificering onder het EU-VS DPF is vrijwillig, maar zodra een organisatie zich committeert, wordt strikte naleving van de principes verplicht en juridisch bindend. Daarnaast moeten deze organisaties robuuste mechanismen opzetten om naleving van deze principes te waarborgen.

Ook wordt verwacht dat zij controleren of hun privacybeleid in lijn is met de principes en de uitvoering ervan bevestigen. Dit kan door middel van zelfevaluaties met interne procedures die vereisen dat medewerkers getraind worden in de uitvoering van het privacybeleid van de organisatie. Regelmatige en objectieve beoordelingen van de naleving maken ook deel uit van dit proces. Alternatief kunnen externe nalevingsbeoordelingen worden uitgevoerd via methoden als audits, steekproeven of het gebruik van technologische hulpmiddelen.

Beheer, toezicht en handhaving van het EU-VS DPF

Het EU-VS DPF wordt beheerd en gemonitord door het Amerikaanse Department of Commerce (DoC). Het kader beschrijft diverse handhavingsmechanismen die worden ingezet om naleving van de richtlijnen te waarborgen. Overtredingen van deze principes worden direct aangepakt.

Hoe worden organisaties gecertificeerd en opnieuw gecertificeerd?

Om organisaties jaarlijks te certificeren of te hercertificeren, moeten zij publiekelijk verklaren zich te houden aan de principes van het EU-VS DPF-kader. Dit houdt in dat het privacybeleid vrij toegankelijk is en correct wordt geïmplementeerd. Als onderdeel van het certificerings- of hercertificeringsproces moeten organisaties het DoC voorzien van:

  • De naam van de betreffende organisatie
  • Een beschrijving van de doeleinden waarvoor de organisatie persoonsgegevens zal verwerken
  • De persoonsgegevens die onder de certificering vallen
  • De gekozen verificatiemethode
  • Het relevante onafhankelijke geschiloplossingsmechanisme
  • Het wettelijke orgaan dat rechtsbevoegdheid heeft om naleving van de principes af te dwingen

Hoe wordt naleving van het EU-VS DPF gemonitord?

Naleving van de principes van het EU-VS DPF wordt continu gemonitord door het DoC. Dit omvat diverse maatregelen, waaronder het uitvoeren van willekeurige “steekproeven” bij geselecteerde organisaties en specifieke ad-hoccontroles wanneer zich mogelijke nalevingsproblemen voordoen. Het DoC beoordeelt of:

  • Contactpunten voor het afhandelen van klachten en verzoeken van betrokkenen beschikbaar en responsief zijn
  • Het privacybeleid van de organisatie gemakkelijk toegankelijk is, zowel op de eigen website als via een hyperlink op de website van het DoC
  • Het privacybeleid van de organisatie blijft voldoen aan de certificeringsvereisten
  • Het gekozen onafhankelijke geschiloplossingsmechanisme beschikbaar is om klachten af te handelen

Valse claims van deelname identificeren en aanpakken

Valse claims van deelname aan het EU-VS DPF of misbruik van het certificeringsmerk worden door het DoC gemonitord. Dit gebeurt zowel zelfstandig als op basis van klachten, bijvoorbeeld van Data Protection Authorities (DPAs). Het DoC controleert continu of organisaties die zich hebben teruggetrokken uit het EU-VS DPF de initiële certificering of jaarlijkse hercertificering niet hebben voltooid, zijn verwijderd als deelnemer, en alle verwijzingen naar het EU-VS DPF uit hun gepubliceerde privacybeleid hebben verwijderd. Het DoC voert ook internetscans uit om te controleren op ongeoorloofde verwijzingen naar het EU-VS DPF in privacybeleid van organisaties.

Hoe wordt het EU-VS DPF gehandhaafd?

Een aparte toezichthoudende instantie houdt primair toezicht op de handhaving van het EU-VS Data Privacy Framework. Deze onafhankelijke autoriteit krijgt de verantwoordelijkheid om nauwlettend toe te zien op naleving van privacywetgeving en om sancties op te leggen bij niet-naleving. Om dit proces effectief te laten verlopen, moeten organisaties binnen het EU-VS DPF verantwoording afleggen aan bevoegde Amerikaanse toezichthouders, met name de Federal Trade Commission en het Department of Transportation. Deze Amerikaanse autoriteiten beschikken over de noodzakelijke onderzoeks- en handhavingsbevoegdheden om volledige naleving van de principes van het kader te waarborgen.

Toegang tot en gebruik van persoonsgegevens uit de Europese Unie door Amerikaanse overheidsinstanties

Onder het EU-VS Data Privacy Framework speelt de omgang met persoonsgegevens die vanuit de Europese Unie door Amerikaanse overheidsinstanties worden verwerkt een cruciale rol binnen de bepalingen van het kader. Het kader bepaalt dat gecertificeerde Amerikaanse organisaties dergelijke gegevens mogen verwerken, waarna deze vervolgens toegankelijk kunnen zijn voor strafrechtelijke vervolging en onderzoek door Amerikaanse federale aanklagers en onderzoekers, die deze gegevens behandelen als informatie afkomstig van elke in de VS gevestigde organisatie, ongeacht de nationaliteit of woonplaats van de betrokkene.

Bovendien kunnen gegevens die vanuit de EU aan organisaties onder het EU-VS DPF zijn overgedragen, door Amerikaanse instanties worden verzameld voor doeleinden die verband houden met nationale veiligheid, wat onder aparte wettelijke bepalingen valt en aan bepaalde voorwaarden en waarborgen is gebonden. Zodra persoonsgegevens door organisaties in de VS zijn ontvangen, kunnen inlichtingendiensten toegang krijgen tot deze gegevens voor veiligheidsdoeleinden, mits dit wettelijk is toegestaan, bijvoorbeeld onder wetten als de Foreign Intelligence Surveillance Act (FISA) of via National Security Letters (NSL). Daarnaast behouden Amerikaanse inlichtingendiensten het recht om persoonsgegevens buiten hun rechtsbevoegdheid te verzamelen, inclusief gegevens die onderweg zijn tussen de EU en de VS. Deze verzameling is voornamelijk gebaseerd op Executive Order 12333 (EO 12333).

Kiteworks vereenvoudigt naleving van het EU-VS Data Privacy Framework

Wetgeving rondom gegevensbescherming vereist strikte controle over het verplaatsen en verwerken van persoonsgegevens. Organisaties moeten daarom aantoonbaar strikt voldoen aan de regels, anders lopen zij risico op niet-naleving, wat kan leiden tot financiële sancties, rechtszaken, klantenverlies en reputatieschade. Het Kiteworks Private Content Network (PCN) pakt deze uitdagingen rondom gegevensbescherming aan en beperkt daarmee de risico’s van niet-naleving. Kiteworks biedt organisaties de tools om PII en andere gevoelige inhoud die zij delen met vertrouwde derde partijen te centraliseren, beschermen, beheren en volgen. Met Kiteworks kunnen organisaties zien waar PII is opgeslagen, wie er toegang toe heeft en wat ermee gebeurt. Zo kunnen organisaties rapporteren, opvragen, terughalen of PII verwijderen, en zo voldoen aan het EU-VS Data Privacy Framework.

Kiteworks biedt on-premises en private cloud-inzet die voldoet aan vereisten voor datasoevereiniteit. End-to-end encryptie voor elk communicatiekanaal (inclusief e-mail, webformulieren, bestandsoverdracht, application programming interfaces [API’s] en beheerde bestandsoverdracht [MFT]) zorgt ervoor dat gevoelige gegevens veilig blijven tijdens verzending en opslag. Granulaire toegangscontrole stelt organisaties in staat precies te beheren wie toegang heeft tot specifieke gegevens. Gedetailleerde audit logs en realtime monitoring stellen organisaties in staat naleving van het EU-VS Data Privacy Framework en tal van andere privacyregels en -normen aan te tonen, waaronder de General Data Protection Regulation (GDPR), het Information Security Registered Assessors Program (IRAP), de Health Insurance Portability and Accountability Act (HIPAA), de California Consumer Privacy Act (CCPA), Cyber Essentials Plus, de International Organization for Standardization 27000 normen (ISO 27001), en vele anderen.

Wilt u weten hoe het Kiteworks Private Content Network uw organisatie kan helpen te voldoen aan het EU-VS Data Privacy Framework? Plan vandaag nog een demo op maat in.

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks