AVG problemen door ongeldigheid Privacy Shield

Sinds 16 juli 2020 is het EU-VS Privacy Shield ongeldig verklaard. Het Europese hof heeft bepaald dat de persoonsgegevens niet voldoende beschermd zijn. Dat heeft grote gevolgen voor veel kerken en missionaire organisaties. Dit omdat het niet meer is toegestaan om persoonsgegevens op te slaan op Amerikaanse servers (denk aan Mailchimp, Planning Center Online of het Life.Church netwerk). Maar wat is er nu eigenlijk aan de hand en wat zijn de gevolgen voor u als kerk of missionaire organisatie?

Wat is het Privacy Shield?

Het Privacy Shield is een afspraak tussen de EU en de VS om de bescherming van persoonsgegevens van burgers van de Europese Unie, die in de VS worden verwerkt, te beschermen. Dit is ontstaan om de uitwisseling van persoonlijke data tussen de Europese Unie en de Verenigde Staten mogelijk te maken. De overeenkomst zorgde ervoor dat Amerikaanse bedrijven alsnog Europese data mochten opslaan, zonder dat hierbij de GDPR / AVG te overtreden.

Waarom is het Privacy Shield ongeldig?

Het Europese hof heeft bepaald dat de persoonsgegeven van Europese burgers niet voldoende beschermt kunnen worden. Het Privacy Shield kon niet het niveau van bescherming bieden dat de AVG wel vereist. In de praktijk blijkt dat er veel meer persoonsgegeven worden ingezien door Amerikaanse inlichting- en veiligheidsdiensten dan volgens de Europese normen is toegestaan. Deze extra inzage is op grond van de Amerikaanse wetgeving wel mogelijk. Deze wetgeving staat namelijk toe dat de eigen overheidsdiensten om zich te mengen in data binnen de private sector, iets wat in Europa niet is toegestaan.

Wat betekent deze ongeldigheid?

De ongeldigheid betekent dat het niet meer toegestaan is om persoonlijke data die door in de EU gevestigde kerken of organisaties op servers in de VS vastgelegd mogen worden. Bedrijven in de Europese Unie die afhankelijk zijn van Amerikaanse servers of bijvoorbeeld clouddiensten kunnen niet meer terugvallen op het Privacy Shield.

Wat zijn de ontwikkelingen?

De Verenigde Staten blijft zich inzetten om samen te kunnen werken met de EU om zo de continuïteit van transatlantische gegevensstromen en privacybescherming te waarborgen. Het Amerikaans ministerie van Handel hoopt de negatieve gevolgen te kunnen beperken omdat deze stromen erg essentieel zijn voor Amerikaanse bedrijven. Daarom blijft het Amerikaans ministerie van Handel in nauw contact met het Europese commissie.

Wat zijn de gevolgen voor uw kerk of missionaire organisatie?

Het betekent dat het niet langer meer is toegestaan om persoonsgegevens vast te leggen in Amerikaanse programma's zoals Mailchimp, SalesForce, ActiveCampaign, Church Community Builder, Planning Center Online, Subsplash of bijvoorbeeld software van het Life.Church netwerk. Dit omdat de data hiervan wordt vastgelegd op servers op Amerikaans grondgebied. Daarnaast is er ondertussen nog een extra probleem ontstaan. Er was namelijk een alternatieve manier om het goed te regelen via een zogenoemde standaard overeenkomst (ook wel SCC genoemd) maar ook dat is geen alternatief meer door een recente uitspraak van het Europese hof.

De conclusie die we hieruit moeten trekken is dat je bij aanschaf en gebruik van software er zeker van moet zijn dat de data uitsluiten binnen de EU wordt opgeslagen. De EDPB (European Data Protection Board) heeft aanbevelingen opgesteld voor doorgifte van gegevens naar landen buiten de EU. De EDPB wil hiermee meer duidelijkheid geven nadat het hof het EU-VS Privacy ongeldig verklaard heeft. De EDPB noemt nog aanvullende maatregelen die bedrijven zouden kunnen overwegen, zoals bijvoorbeeld een goede encryptie en pseudonimisering. Om persoonsgegevens goed te beschermen zullen kerken en missionaire organisaties per geval goed moeten bekijken welke maatregel, of combinatie van maatregelen, er nodig zijn.

Hieronder volgende de aanbevelingen van het EDPB

En hoe zit dat nu met kerkSPOT?

kerkSPOT is AVG Proof, we slaan alle data op op servers binnen de EU. Sterker nog, onze server staat in een TIER-3 datacenter in Almere. Wanneer u de gegevens van uw gemeenteleden, donateurs en andere relaties in kerkSPOT opslaat dan weet u zeker dat dit gebeurt volgens de normen die in Europa gelden op het gebied van de AVG. Wij worden ook regelmatig getoetst door onze privacypartner Privacy Zeker en hebben via hen een FG (Functionaris Gegevensbeheer) die ons op de vingers tikt wanneer iets niet helemaal conform de hoge EU standaard gaat. Hierdoor kunnen wij ons hier snel op aanpassen zodat we ons AVG Certificaat waard blijven.

Toen we zijn begonnen met kerkSPOT, en dan met name met het CRM gedeelte, is privacy een hoog goed geweest voor ons. Een persoonsgegeven is geen eigendom van een kerk of organisatie, het is eigendom van de persoon zelf. Dat is eigenlijk altijd al zo geweest, alleen hadden veel organisaties dat bewustzijn nog niet. We willen er bij kerkSPOT dan altijd voor zorgen dat de eigenaar van de persoonsgegevens altijd in staat is om bij zijn/haar gegevens te kunnen, in te zien, aan te passen of te verwijderen. Dit zijn dingen die liggen verankert in het fundament van onze software en onze organisatie.

Wij gebruiken nu software uit de VS, kunnen jullie ons helpen over te stappen?

Natuurlijk kunnen we dat, en doen dat heel graag. Voor sommige pakketten hebben we zelfs al standaard procedures om de migratie te vereenvoudigen. Neem vrijblijvend contact met ons op over de mogelijkheden, of vraag een demonstratie aan om te zien wat kerkSPOT te bieden heeft. Tijdens een demonstratie kunt u al uw vragen stellen en kunnen we u meer vertellen over dit hele proces. We helpen u graag om als kerk of missionaire organisatie ook op het vlak van AVG goed bezig te zijn.

We zijn gezamenlijk ambassadeurs van de Allerhoogste en we hopen dan ook op die manier samen tot een goed en aanstekelijk voorbeeld voor de rest van de wereld te zijn. Op die manier kunnen we God eren maar tegelijkertijd ook mensen bereiken met het goede nieuws. En uiteindelijk is dát onze hogere missie, ook die van kerkSPOT, om de wereld te verkondigen dat we vrij kunnen zijn. Vrij van alles wat ons bind en beperkt, en dat de weg naar God wagenwijd open ligt dankzij het bijzondere én volbrachte werk van onze Heer Jezus Christus!

Bronnen

Dit artikel is mede tot stand gekomen door onze samen werking met Privacy Zeker, hier werken gecertificeerde (CIPP/E en CIPM) mensen op het gebied van online privacy en legal. En zijn daarnaast partner van het centrum informatiebeveiliging en privacybescherming.

De onderstaande artikelen zijn gebruikt:

 

           

« Bekijk alle blogs

 

Aanbevelingen