Verklaring omtrent overdracht van persoonsgegevens van de Europese betrokkenen naar de Verenigde Staten

 

1. Arthrex hecht groot belang aan veilige gegevensoverdracht

 

Arthrex zorgt ervoor dat er in alle gevallen van overdracht van persoonsgegevens naar onze organisatie volledig wordt voldaan aan de relevante wet- en regelgeving op het gebied van gegevensbescherming. Wij geven prioriteit aan de bescherming van uw persoonsgegevens en blijven toegewijd aan de handhaving van de normen die worden beschreven in het EU-US Data Privacy Framework.

Arthrex implementeert in haar producten, systemen en processen de noodzakelijke beveiligingsmaatregelen, zodat erop kan worden gerekend dat doorgifte van persoonsgegevens volgens de hoogste normen wordt beschermd.

Raadpleeg de gegevensverwerkingsovereenkomst die we samen met u ondertekenen, de privacyverklaring van Arthrex of de specifieke privacyverklaring die u heeft ontvangen in de context van het product of de dienst waarvan u gebruikmaakt voor informatie over de bescherming van uw persoonsgegevens op elke locatie waar ze zich bevinden.

 

2. Zorgen voor veilige transatlantische gegevensstromen met het EU-US Data Privacy Framework

 

Arthrex voldoet aan de verplichtingen ingevolge het EU-U.S. Data Privacy Framework (EU-U.S. DPF), de uitbreiding van het VK op het EU-U.S. DPF en het Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF), zoals uitgevaardigd door de U.S. Department of Commerce. Arthrex heeft aan de U.S. Department of Commerce verklaard dat zij zich houdt aan de beginselen van het EU-U.S. Data Privacy Framework (EU-U.S. DPF Principles) met betrekking tot de verwerking van persoonsgegevens die op basis van de EU-U.S. DPF van de Europese Unie en op basis van de uitbreiding van het VK op het EU-U.S. DPF van het Verenigd Koninkrijk (en Gibraltar) zijn ontvangen. Arthrex heeft aan het U.S. Department of Commerce verklaard dat zij zich houdt aan de beginselen van het Swiss-U.S. Data Privacy Framework (Swiss-U.S DPF Principles) met betrekking tot de verwerking van persoonsgegevens die op basis van de Swiss-U.S. DPF van Zwitserland zijn ontvangen. Als er een conflict is tussen de voorwaarden van dit privacybeleid en de beginselen van het EU-U.S. DPF en/of de beginselen van het Swiss-U.S. DPF zijn de betreffende beginselen bepalend. Bezoek https://www.dataprivacyframework.gov/. om onze verklaring te bekijken.

Als u vragen of klachten heeft over hoe Arthrex krachtens het Data Privacy Framework met uw persoonsgegevens omgaat of over onze privacyprocedures in het algemeen, neem dan contact met ons op via: privacy@arthrex.com. We zullen snel op uw vragen reageren. Als u een probleem heeft betreffende de privacy of het gebruik van gegevens dat we niet tot uw tevredenheid hebben behandeld, neem dan contact op met onze in de VS gevestigde derde dienstverlener voor het oplossen van geschillen (kosteloos) via https://www.adr.org/. Als uw klacht noch door Arthrex noch door onze derde dienstverlener voor het oplossen van geschillen wordt opgelost, kunt u zich wenden tot bindende arbitrage middels het Privacy Framework Panel. Kijk hier voor meer informatie over het Data Privacy Framework Panel.

U kunt de registratie van Arthrex bij het Data Privacy Framework hier bekijken. De Amerikaanse Federal Trade Commission (FTC) heeft met betrekking tot Arthrex onderzoeks- en handhavingsbevoegdheden. Arthrex kan naar aanleiding van rechtsgeldige verzoeken door overheidsinstanties worden verplicht tot overdracht van persoonsgegevens die we verwerken krachtens het Data Privacy Framework, om bijvoorbeeld aan eisen ingevolge de staatsveiligheid of wetshandhaving te voldoen.

 

3. Beoordeling van het belang dat overheidsinstanties van de Verenigde Staten hebben bij de overdracht van persoonsgegevens door Arthrex

Naast het adequaatheidsbesluit voor het EU-US DPF hebben we een uitgebreide risicobeoordeling van de overdracht van persoonsgegevens door Arthrex uitgevoerd, waarbij we de volgende factoren in aanmerking hebben genomen: het doel/de doelen waarvoor de persoonsgegevens worden overgedragen en verwerkt (bijv. marketing, HR, gegevensopslag, IT-ondersteuning, klinische onderzoeken);

• de typen entiteiten die bij de verwerking zijn betrokken (bijv. openbaar/particulier; verwerkingsverantwoordelijke, verwerker);
• de sector waarin de overdracht plaatsvindt (bijv. medisch, telecommunicatie, financieel, etc.);
• de categorieën persoonsgegevens die worden overgedragen (zo kunnen persoonsgegevens die op kinderen betrekking hebben, binnen de reikwijdte van specifieke wetgeving in het derde land vallen);
• of de persoonsgegevens in het derde land worden bewaard of dat er alleen sprake is van toegang op afstand tot persoonsgegevens die binnen de EER worden bewaard;
• de opmaak/indeling van de persoonsgegevens die moeten worden overgedragen (bijv. in tekst zonder opmaak, gepseudonimiseerd of versleuteld);
• de mogelijkheid dat de persoonsgegevens van het derde land kunnen worden doorgegeven binnen het derde land of aan een ander derde land.

Deze factoren en met name de aard van de persoonsgegevens die worden overgedragen, ondersteunen de veronderstelling dat het onwaarschijnlijk is dat de overheid van de VS zal proberen de overgedragen gegevens te verkrijgen. Als bedrijf in medische hulpmiddelen is Arthrex niet actief in een sector waarin er scherper op de staatsveiligheid moet worden gelet (bijv. uitvoering van defensiecontracten, ondersteuning van de inlichtingendienst, uitvoering van overheidscontracten of voorzien in kritische infrastructuur). De gegevens die Arthrex overdraagt, betreffen in plaats daarvan meestal persoonsgegevens van medewerkers, systeembeveiligingsgegevens, gebruikersreferenties in verband met e-learning, accountgegevens en medische records die persoonsgegevens kunnen bevatten. Deze medische records worden primair gebruikt voor de ontwikkeling van specifieke chirurgische hulpmiddelen en methoden, bewaking van het herstel en de vooruitgang van patiënten in bepaalde postoperatieve omstandigheden en, in een beperkt aantal gevallen, om te voorzien in technische ondersteuning bij procedures voor het opnemen van chirurgische video's. Arthrex ontvangt de gegevens van een dochteronderneming in de EU voor ondersteuning van haar normale bedrijfsinspanningen, die niet gevoelig zijn met betrekking tot aspecten van de staatsveiligheid en contraspionage. De persoonsgegevens worden niet vanuit de Verenigde Staten naar verdere landen overgedragen, en wanneer ze naar de Verenigde Staten worden overgedragen, worden ze in versleutelde vorm overgedragen of ze worden op een veilige wijze vanuit de Verenigde Staten op afstand ingezien. Arthrex heeft met betrekking tot de persoonsgegevens die het bedrijf verwerkt, geen verzoek van de Amerikaanse overheid ontvangen en het is onwaarschijnlijk dat Arthrex zo'n verzoek zou ontvangen. Het valt daarom redelijkerwijs niet te verwachten dat persoonsgegevens die door Arthrex worden verwerkt, van bijzonder belang voor de staatsveiligheid zijn.

 

4. Aanvullende maatregelen

Arthrex heeft aanvullende maatregelen geïmplementeerd om voor een adequate bescherming van persoonsgegevens te zorgen, ook in gevallen waarin het rechtsstelsel van het bestemmingsland een laag of geen wezenlijk risico met zich meebrengt. Deze aanvullende maatregelen laten zich onderverdelen in drie categorieën: (i) contractuele beveiligingsmaatregelen (ii) organisatorische beveiligingsmaatregelen en (iii) technische beveiligingsmaatregelen.

 

    a) Contractueel

Zoals hierboven is aangegeven, stelt Arthrex een contractuele overeenkomst op waarin de beveiligingsmaatregelen voor overdracht van persoonsgegevens naar de Verenigde Staten worden beschreven.

Wanneer de verwerking van persoonsgegevens van de Europese betrokkenen in een contract is geregeld, zal Arthrex:

   (i) ermee akkoord gaan direct gebonden te zijn door de gegevensverwerkingsovereenkomsten waarin de organisatorische en technische maatregelen worden beschreven die Arthrex heeft ingesteld ter bescherming van de persoonsgegevens van Europese betrokkenen;

   (ii) met elke subverwerker die in een derde land zonder adequate bescherming is gevestigd, gepaste standaardcontractbepalingen voor verwerker-naar-verwerker aangaan in gevallen waarin de subverwerking naar doorgifte naar een derde land leidt.

 

    b) Organisatorisch

De problemen waarop de CJEU met betrekking tot de overdracht van persoonsgegevens naar de Verenigde Staten heeft gewezen, betroffen met name de praktijken van de overheid van de Verenigde Staten betreffende het type verzameling van gegevens dat wordt beschreven in U.S. Executive Order 12333 (EO 12333) en Section 702 van de Foreign Intelligence Surveillance Act (FISA § 702), met name wat betreft de zogenoemde 'Upstream'-surveillance krachtens FISA § 702. De risico's die zijn verbonden aan deze specifieke wettelijke bepalingen, gelden echter niet voor de verwerking van persoonsgegevens door Arthrex of kunnen effectief worden verminderd door implementering van de passende organisatorische beveiligingsmaatregelen die door Arthrex worden geboden. Daarnaast is Arthrex van plan om gebruik te maken van beschikbare wettelijke mechanismen om eisen van overheidsinstanties in de VS betreffende toegang tot persoonsgegevens aan te vechten.

Het is vermeldenswaard dat Arthrex overheidsinstanties in de VS niet helpt, en niet kan worden gedwongen om overheidsinstanties in de VS te helpen, bij hun inspanningen om krachtens Executive Order 12333 gegevens te verzamelen. Arthrex houdt zich niet bezig met surveillance-activiteiten krachtens EO 12333 en zal geen hulp verlenen aan overheidsinstanties in de VS die zich met deze activiteiten bezighouden. EO 12333 verleent de overheid van de VS niet de bevoegdheid om bedrijven te dwingen om hulp te verlenen bij deze activiteiten, en Arthrex zal hierbij niet overgaan tot vrijwillige samenwerking. Dientengevolge verricht Arthrex geen handelingen en kan Arthrex niet worden gedwongen handelingen te verrichten die leiden tot het type massasurveillance krachtens EO 12333, dat als problematisch wordt beschouwd.

Er kunnen Arthrex krachtens FISA § 702 geen 'Upstream'-bevelen of massasurveillance-bevelen worden gegeven, omdat Arthrex de betreffende diensten niet verleent. De interpretatie en toepassing van FISA § 702 door de overheid van de VS bevestigt dat het specifieke bevel niet aan Arthrex kan worden gegeven. Het is zeer onwaarschijnlijk dat de verwerking van de persoonsgegevens van de klanten van Arthrex relevant is voor de spionageactiviteiten die door FISA § 702 worden bepaald. Als deze gegevens relevant zouden zijn, zou de overheid waarschijnlijk andere juridische wegen bewandelen, zoals verkrijging van een huiszoekingsbevel, omdat het een sneller en eenvoudiger proces is dan bevelen krachtens FISA § 702 uit te vaardigen.

 

    c) Technisch

Arthrex implementeert technische maatregelen die wat primair als problematisch wordt beschouwd, namelijk massasurveillance krachtens FISA § 702 en massa-interceptie (sleepnetpraktijken) krachtens EO 12333, grotendeels het hoofd biedt.

Arthrex versleutelt alle persoonsgegevens in rust in ons systeem en ook persoonsgegevens in transit met een versleuteling die voldoet aan de meest recente eisen volgens de AVG. Door de versleutelingsmaatregelen die door Arthrex worden genomen, wordt ongeoorloofde toegang tot persoonsgegevens in een begrijpelijke vorm voorkomen en kunnen persoonsgegevens tijdens verzending tussen twee eindpunten niet onrechtmatig worden onderschept of vervalst.

Arthrex dwingt ter bescherming van persoonsgegevens die op haar servers worden bewaard strikte beheer-, technische en fysieke protocollen af. Toegang tot persoonsgegevens wordt beperkt door het gebruik van aanmeldgegevens, uitsluitend beperkt tot medewerkers die deze toegang nodig hebben om hun functieverantwoordelijkheden uit te voeren. Arthrex gebruikt toegangscontroles zoals meervoudige verificatie, beperkte toegang tot beheeraccounts, single sign-on, principe van de minste privileges en robuuste wachtwoordcontroles. Verder implementeert Arthrex dataminimalisatiemethoden om de overdracht van persoonsgegevens vanuit de EU naar rechtsgebieden van derde landen te beperken. Hierbij kan het in toepasselijke gevallen gaan om pseudonimisering of de-identificatie van persoonsgegevens.

 

5. Aanvullende overwegingen

In toepasselijke gevallen zal Arthrex persoonsgegevens van Europese betrokkenen uitsluitend in de Europese Unie bewaren en verwerken. In deze gevallen worden de persoonsgegevens niet in de Verenigde Staten bewaard, en de toegang tot deze gegevens vanuit de Verenigde Staten is gebaseerd op situaties waarin toegang tot bepaalde persoonsgegevens noodzakelijk is, bijvoorbeeld om te voldoen aan klantenondersteuningsverzoeken, om specifieke hulp bij beveiligingsvraagstukken te verlenen of om oplossingen voor technische problemen te bieden.

Overdracht van persoonsgegevens naar de VS wordt strikt gedaan op basis van wat nodig is om te weten dan wel nodig is om te hebben volgens de gegevensverwerkingsovereenkomsten waarin de organisatorische en technische maatregelen worden beschreven die Arthrex heeft ingesteld ter bescherming van de persoonsgegevens van Europese betrokkenen.

Arthrex bevestigt dat in het geval van een bevel om overheidsinstanties in de VS toegang tot persoonsgegevens te geven, Arthrex verplicht is om klanten hierover te informeren, zodat zij hun overeenkomst met ons kunnen beëindigen en overdracht van persoonsgegevens naar onze organisatie kunnen stopzetten. Het is vermeldenswaard dat Arthrex nooit zo'n bericht heeft moeten uitvaardigen, en op basis van de evaluatie die hierboven is gegeven, is het zeer onwaarschijnlijk dat deze situatie zich in de toekomst zal voordoen.

 

6. Conclusie

Op basis van de uitgebreide analyse die hierboven is gegeven, stellen we met zekerheid vast dat het risico op schade voor de betrokkenen minimaal is. Deze conclusie is gebaseerd op de rigoureuze beschermings- en beveiligingsmaatregelen die door Arthrex zijn geïmplementeerd, in combinatie met de uiterst geringe kans op een verzoek van overheidsinstanties in de VS om in verband met onze producten of diensten toegang tot persoonsgegevens te krijgen. Rekening houdend met deze factoren en gezien relevante wettelijke verplichtingen, bevestigen we daarom dat het risico op schade voor betrokkenen als onbeduidend kan worden beschouwd.

Ongeacht het geringe risico met betrekking tot de overdracht van persoonsgegevens van de Europese betrokkenen naar de VS, wil Arthrex volledig blijven voldoen aan de beginselen en beveiligingsmaatregelen die worden beschreven in het EU-US Data Privacy Framework, aan alle relevante wet- en regelgeving en ook aan de beste praktijken op het gebied van gegevensbescherming. Door deze normen hoog te houden zorgen we voor een veilige en rechtmatige overdracht van persoonsgegevens, en geven we blijk van onze onwrikbare toewijding aan de bescherming van de privacy van onze klanten.