Bedrijven uit de verenigde staten kunnen persoonsgegevens in handen krijgen. Denk aan Google die door middel van Google Analytics IP-adressen kan verzamelen. Werk je met een Amerikaanse partij samen? Met behulp van het Data Privacy Framework kun je onderzoeken of de doorgifte van persoonsgegevens naar de VS is toegestaan en welke overwegingen daarbij relevant kunnen zijn. We bieden een overzicht van de stappen die je kunt volgen om een geïnformeerde beslissing te nemen..
Table of Contents
Wat is het Data Privacy Framework?
Het Data Privacy Framework omvat afspraken over de veilige doorgifte van persoonsgegevens naar de VS. Op 10 juli 2023 zijn er nieuwe afspraken in werking getreden tussen de Europese Unie en de VS met betrekking tot de doorgifte van persoonsgegevens vanuit de Europese Economische Ruimte (EER) naar de VS. Deze afspraken staan bekend als het Data Privacy Framework.
Voorbeelden van Persoonsgegevens
- IP-adressen
- E-mailadressen
- Geboortedata
Organisaties in de VS kunnen zich aansluiten bij het Data Privacy Framework. Wanneer ze dat doen, is de doorgifte van persoonsgegevens vanuit de EER naar deze organisaties toegestaan zonder dat de Europese partij extra juridische en technische maatregelen hoeft te nemen. Deze bedrijven moeten voldoen aan vergelijkbare eisen als de AVG, inclusief het beperken van toegang door Amerikaanse geheime diensten. Echter, bedrijven die niet deelnemen, zoals die in de bank- en verzekeringssector, blijven onderhevig aan strikte voorwaarden.
Stap 1: Controleer of de Organisatie Deeltneemt aan het Data Privacy Framework
De eerste stap is om te controleren of de organisatie in de VS waaraan je persoonsgegevens wilt doorgeven, deelneemt aan het Data Privacy Framework. Dit kun je doen door naar de website van het Data Privacy Framework te gaan en de naam van het bedrijf waarmee je gaat samenwerken in te vullen.
Stap 2: Vervolgstappen
Vervolgens zijn er twee mogelijke scenario’s:
Organisatie Doet Mee aan het Data Privacy Framework
Als de organisatie in de VS waaraan je persoonsgegevens wilt doorgeven, deelneemt aan het Data Privacy Framework, en als het specifieke product dat je wilt gebruiken ook onder dit framework valt, mag je de persoonsgegevens doorgeven. Je hoeft hiervoor geen ander doorgifte-instrument te gebruiken en ook geen extra maatregelen te nemen om de gegevens te beschermen.
Organisatie Doet Niet Mee aan het Data Privacy Framework
Als de organisatie in de VS waaraan je persoonsgegevens wilt doorgeven niet deelneemt aan het Data Privacy Framework kan je eventueel aanvullende maatregelen nemen.
- Gebruik een Doorgifte-Instrument: Je kan een doorgifte-instrument gebruiken voor doorgifte naar een land buiten de EER, zoals een modelcontract of binding corporate rules (BCR).
- Neem Extra Maatregelen: Indien nodig, kan je extra maatregelen nemen om de persoonsgegevens te beschermen.
Wat kunnen deze extra maatregelen zijn? Om de juiste extra maatregelen te bepalen, kun je de “Aanbevelingen voor maatregelen ter aanvulling op doorgifte-instrumenten” van de EDPB gebruiken. De EDPB noemt verschillende waarborgen die je kunt overwegen, zoals goede encryptie en pseudonimisering. Je moet per geval bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.
Twijfel je?
Dan adviseert de Nederlandse Autoriteit Persoonsgegevens (AP) om aanvullend zelf na te vragen bij de organisatie of het specifieke product ook onder het Data Privacy Framework valt.
Hoe TAGGRS ervoor zorgt dat Persoonsgegevens worden Beschermd
Server Side Tracking
TAGGRS bied hosting software voor Google Tag Manager Server Side Tracking aan. Op deze 3 manieren zorgt Server Side GTM ervoor dat je kunt voldoen aan de GDPR-regels:
- Verbeterde Controle over Derde Partij Data: Server Side GTM stelt je in staat om nauwkeuriger te beheren welke gegevens naar externe partijen zoals Facebook worden verzonden, waardoor je controle hebt over de informatie die zij kunnen zien.
- Veilige Verwerking van Gevoelige Info en PII: Server Side GTM helpt je om te voldoen aan het beleid van platforms zoals Google en Facebook door persoonlijk identificeerbare informatie (PII) zoals IP-adressen te verwijderen of te hashen voordat deze naar externe platforms worden verzonden.
- Effectief Data Management: Server Side GTM biedt oplossingen zoals het hashen van gebruikersgegevens volgens de normen van verschillende platforms en het aanpassen van website-URL’s voordat ze worden doorgestuurd naar externe partijen, wat vooral nuttig is voor het beschermen van gevoelige informatie in URL’s.
Bekijk meer in onze blog over GDPR en Server Side Tracking.
GDPR Tool voor Anonimisering
TAGGRS biedt een GDPR-tool waarmee persoonsgegevens effectief kunnen worden geanonimiseerd. Deze tool helpt je te voldoen aan de AVG-regelgeving door ervoor te zorgen dat gevoelige gegevens worden omgezet in een vorm die niet herleidbaar is tot individuele personen.
Eigen Serverlocaties
TAGGRS maakt gebruik van eigen serverlocaties, waardoor data het land niet hoeft te verlaten. Dit biedt een extra laag van bescherming omdat de gegevens binnen de grenzen van het land kunnen blijven, wat kan helpen bij het naleven van lokale wet- en regelgeving en het minimaliseren van risico’s verbonden aan internationale dataoverdracht.
Outro
Het doorgeven van persoonsgegevens naar de VS vraagt om zorgvuldige overweging. Controleer of je partnerorganisatie deelneemt aan het Data Privacy Framework en neem indien nodig extra maatregelen. Met tools zoals die van TAGGRS kun je persoonsgegevens effectief beheren en beschermen.
FAQ Data privacy Framework
Waarom staat TAGGRS niet in het Data Privacy Framework?
TAGGRS is een Europees bedrijf, en het Data Privacy Framework is alleen bedoeld voor Amerikaanse bedrijven.
Zit Google in het Data Privacy Framework?
Ja, Google neemt deel aan het Data Privacy Framework.
Over de auteur
Ate Keurentjes
Server Side Tracking Specialist bij TAGGRS
Ate Keurentjes is een Server Side Tracking specialist bij TAGGRS. Hij heeft ervaring met verschillende Google Tag Manager concepten. Keurentjes redigeert en schrijft sinds 2023 over de nieuwste ontwikkelingen en trends in data verzameling / Server Side Tracking.