Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie (HJEU) een arrest gewezen waarin de overdracht van gegevens vanuit de EU wordt onderzocht, het zogenaamde Schrems II-arrest.

Wij begrijpen dat onze klanten vragen kunnen hebben over de mogelijke impact van het arrest en de stappen die Freshworks neemt om dit aan te pakken. We willen bij deze van de gelegenheid gebruik maken om te anticiperen op een aantal van de belangrijkste vragen en deze te beantwoorden.

 

Q: Wat staat er in het Schrems II-arrest?

A: Het HJEU heeft het EU-VS Privacy Shield Framework (Privacy Shield) ongeldig verklaard als een mechanisme om de rechtmatige overdracht van persoonsgegevens buiten de Europese Economische Ruimte (EER) te vergemakkelijken, maar heeft bevestigd dat de Standaard Contractuele Bepalingen (Standard Contractual Clauses ofwel de SCC's), zoals die eerder door de Europese Commissie zijn goedgekeurd, een geldig mechanisme zullen blijven.

Het HJEU benadrukte dat de verwerkingsverantwoordelijken ervoor moeten zorgen dat er "passende waarborgen" zijn om personen wier persoonsgegevens worden doorgegeven, een beschermingsniveau te bieden dat "in wezen gelijkwaardig" is aan de bescherming die zij in Europa genieten (op grond van de Algemene Verordening Gegevensbescherming of de ”AVG" en het Handvest van de Grondrechten). De SCC's zijn een van de middelen om dit te bereiken, hoewel in sommige omstandigheden "aanvullende waarborgen" nodig zullen zijn (zie hieronder).

 

Q: Wat betekent dit voor overdrachten naar Freshworks onder haar Privacy Shield-certificering?

A: Privacy is belangrijk voor Freshworks. Wij blijven toezicht houden op de aanbevelingen van de Europese gegevensbeschermingsautoriteiten en het Europees Comité voor Gegevensbescherming (EDPD, een orgaan van alle EU-regelgevers). We wachten ook op verdere opheldering van de Europese Commissie en de Amerikaanse regering om een aantal van de meer door het arrest opgeworpen kwesties op politiek niveau aan te pakken.

Ondertussen staat het arrest het gebruik van de SCC's als rechtmatig mechanisme voor de overdracht van gegevens niet in de weg. Freshworks gaat daarom voor de overdracht van gegevens vanuit de EER naar de VS over op de SCC's en blijft voor andere overdrachten van gegevens vanuit de EER op de SCC's vertrouwen.    

Onze Gegevensprivacy-addendum (of Overeenkomsten inzake gegevensverwerking) voegt de SCC's toe en maakt duidelijk dat de SCC's van toepassing zijn tussen onze klant (als exporteur) en Freshworks (als importeur) voor de overdracht van persoonsgegevens uit de EER die niet (langer) onderworpen zijn aan een adequaatheidsbeslissing (zoals het Privacy Shield). Nu de overdracht van persoonsgegevens naar de VS onder het Privacy Shield niet toereikend wordt geacht, gelden de SCC's automatisch in plaats van het Privacy Shield onder ons Addendum.

Hoewel het Privacy Shield is vastgesteld als een ongeldig mechanisme voor de overdracht van persoonsgegevens vanuit de EER, blijft Freshworks zich inzetten voor de verdere verwerking van persoonsgegevens die worden ontvangen van de EER in overeenstemming met de principes van het Privacy Shield.

 

Q: Welke andere maatregelen neemt Freshworks om te zorgen voor "passende waarborgen" voor Europese gegevens?

A: Privacy is belangrijk voor Freshworks. We streven er voortdurend naar om alle persoonsgegevens die we verwerken zo goed mogelijk te beschermen. Wij wachten op aanwijzingen van de EDPB over welke aanvullende maatregelen nodig zouden kunnen zijn om "passende waarborgen" voor Europese gegevens te waarborgen, maar wilden in de tussentijd de volgende stappen die we al nemen, met u delen.

1. Beveiliging

     a. Wij zijn trots op onze betrouwbare gegevensbeveiliging en privacyprocedures, die voortdurend in ontwikkeling zijn om de bescherming van de persoonsgegevens van onze klanten te garanderen. U kunt hier meer lezen over ons uitgebreide beveiligingsprogramma en -ontwerp.

     b. We zijn gecertificeerd met ISO 27001 en we zijn lid van de Cloud Security Alliance. 

     c. AES 256 bit encryptie met 1.024 bit key-sterkte voor gegevens bij Rest en FIPS 140-2 conforme TLS-encryptie voor gegevens in transit, wat betekent dat het begrijpelijk is voor derden.

 2. Verzoeken van rechtshandhavers

     a. We hebben een strikt beleid en strikte procedures om ervoor te zorgen dat we klanten onmiddellijk op de hoogte brengen, zoals vereist in de SCC's, als we een verzoek van de wetshandhaving of een andere overheidsinstantie ontvangen om gegevens van klanten te verstrekken.

     b. In overeenstemming met ons beleid en onze processen bieden wij de rechtshandhavers enkel toegang tot gegevens wanneer wij daartoe wettelijk verplicht zijn.

 

Q: Ik heb nog meer vragen, waar kan ik ze naartoe sturen?

A: We hopen dat deze FAQ's dienen om onmiddellijke problemen te verhelpen, maar als u toch nog vragen heeft, neem dan gerust contact op met uw Freshworks accountmanager of privacy@freshworks.com.