Het is jullie vast niet ontgaan: ongeveer een week geleden werd het EU-U.S. and Swiss-U.S. Privacy Shield voor doorgifte naar de Verenigde Staten ongeldig verklaard door het Hof van Justitie van de Europese Unie. Geen cloud-opslag meer door Uncle Sam. Dit gebeurde in de zogenoemde Schrems II zaak. Kortgezegd betekent dit dat organisaties binnen de EU geen persoonsgegevens meer mogen doorgeven aan de VS, door zich te beroepen op het Privacy Shield als passende waarborg. De Standard Contractual Clauses (SCC’s) blijven een geldig mechanisme, maar staan op losse schroeven wanneer je ze met een partij in de VS sluit. Dit doet daarom nogal wat stof opwaaien. Veel organisaties die wij tegenkomen, maken gebruik van ten minste één dienst of applicatie afkomstig van een Amerikaanse leverancier. Maak je bijvoorbeeld gebruik van een Facebookpixel, dan is er al sprake van verwerken in de VS. Mailen via MailChimp? Ook dat is een verwerking in de VS. De vraag rijst wat dit nu praktisch gaat betekenen voor al deze organisaties. Duidelijk is dat er iets moet gebeuren, maar wat dan precies?
Doorgifte van persoonsgegevens naar de VS
In de Algemene verordening gegevensbescherming (AVG) staan regels voor doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER), ook wel derde landen genoemd. Kortgezegd betekent dit dat persoonsgegevens verstuurd mogen worden naar derde landen, wanneer aan specifieke voorwaarden is voldaan. Geef je als organisatie persoonsgegevens door aan een partij die gevestigd is in zo’n derde land, zoals de VS, dan is dat namelijk alleen toegestaan in één van onderstaande gevallen:
- als er een adequaatheidsbesluit is;
- als gebruik wordt gemaakt van de standaardbepalingen die door de Europese Commissie zijn opgesteld;
- als er bindende bedrijfsvoorschriften zijn opgesteld; of
- als sprake is van een van de afwijkingen genoemd in artikel 49 AVG.
Het adequaatheidsbesluit
Een adequaatheidsbesluit wordt genomen door de Europese Commissie en bepaalt dat een derde land (of internationale organisatie/sector binnen dat land) een passend niveau van bescherming van persoonsgegevens biedt door middel van zijn nationale wetgeving of op basis van internationale verplichtingen.
Als gevolg hiervan kunnen persoonsgegevens veilig vanuit de EER naar dat derde land worden doorgegeven, zonder dat er verdere waarborgen of machtigingen nodig zijn. Het bestaan van een adequaatheidsbesluit betekent overigens niet dat persoonsgegevens meteen verstuurd mogen worden naar partijen in dat derde land. Aan de overige eisen van de AVG, zoals bijvoorbeeld de verplichting tot het sluiten van een verwerkersovereenkomst, moet nog steeds worden voldaan.
De lijst met landen – en dus ondernemingen – waaraan data mag worden doorgegeven wordt alsmaar groter; een goed teken voor bedrijven die afhankelijk zijn van verwerking van persoonsgegevens door partijen die in derde landen zijn gevestigd. Er zijn echter geen strikte regels omtrent de houdbaarheid van adequaatheidsbesluiten, waardoor eerdere besluiten nauwlettend in de gaten moeten worden gehouden. Het Europees Parlement en de Raad kunnen de Europese Commissie namelijk te allen tijde verzoeken het adequaatheidsbesluit te handhaven, te wijzigen of in te trekken – op grond van een verminderd niveau van gegevensbescherming. Dat is precies waar wij nu ook tegen aanlopen ten aanzien van het Privacy Shield. De discussie of het Privacy Shield dient te worden opgeschort of ongeldig moet worden verklaard, leeft al geruime tijd. De inmiddels beroemde (of moet ik zeggen: beruchte?) Facebook- en Cambridge Analytica-schandalen spelen hier een grote rol in.
Van Safe Harbour naar Privacy Shield
Het Privacy Shield werd in 2016 aangenomen als het nieuwe dataverdrag tussen de EU en de VS, de vervanger van het Safe Harbor verdrag. In 2015 werd de Safe Harbor namelijk al ongeldig verklaard, omdat het Europese Hof van oordeel was dat persoonsgegevens onvoldoende werden beschermd en daarom het verdrag niet langer geldig was. Het Privacy Shield had het eenvoudiger moeten maken om gegevens te delen met partijen in de VS dan de overige opties voor doorgifte van persoonsgegevens, waaronder het sluiten van SCC’s. Hier komen wij verderop in deze blog uitgebreid op terug.
Net zoals de Safe Harbor principes, is het Privacy Shield ontwikkeld om organisaties binnen de VS de mogelijkheid te bieden om zich te certificeren. Via deze certificeringen konden zij aan Europese organisaties laten zien dat ze voldoende maatregelen hadden getroffen ter bescherming van Europese persoonsgegevens, om zo toch zaken met elkaar te kunnen doen. Veel juristen, advocaten en andere critici, waren al sinds de ongeldigheid van de Safe Harbor en/of de eerdergenoemde schandalen hieromtrent, ervan overtuigd dat het delen van data met Amerika geen goed plan is. Er waren dan ook veel tegengeluiden te horen, toen het Privacy Shield de Safe Harboropvolgde. Toch zijn er wél veranderingen aangebracht, ten opzichte van de Safe Harbor, die hier rekening mee moesten houden.
Betrokkenen kregen meer rechten onder het Privacy Shield. Zo konden Europese burgers klachten indienen bij de Amerikaanse bedrijven als zij van mening waren dat hun rechten werden geschonden.
Daarnaast bestonden er diverse mogelijkheden voor Europese burgers om klachten in te dienen óver een bedrijf. Zo werd er een Privacy Shield Panel opgericht dat ook de mogelijkheid heeft om het certificaat van een Amerikaans bedrijf in te trekken. Daarnaast was de Amerikaanse overheid voortaan gebonden aan zes verschillende grondslagen om massasurveillance te verrichten. Dit moest voorkomen dat de Amerikaans overheid zomaar in de gegevens van Europese burgers mag neuzen. Tevens werd (veel te laat, en tevergeefs) een ombudsman aangesteld die klachten over mogelijke massasurveillance onafhankelijk kan behandelen.
Schrems
Een van de meest bekende critici is toch wel Maximillian Schrems. Deze Oostenrijker legde zich er niet bij neer nadat hij de Safe Harbor ongeldig verklaard kreeg. Volgens Schrems was er namelijk met het Privacy Shield nog steeds onvoldoende bescherming aanwezig voor Europese persoonsgegevens wanneer deze door Amerikaanse organisaties werden verwerkt. Schrems, en velen met hem, zijn van mening dat de Amerikaanse overheid te pas en te onpas data zullen blijven inzien en gebruiken. In de Schrems II zaak pleitte Schrems daarom dat er geen persoonsgegevens vanuit Facebook Ierland mochten worden doorgegeven aan het moederbedrijf in de VS, omdat zijn privacy daar gewoonweg niet gewaarborgd kan worden.
Er waren toch nog andere manieren?
Dat klopt. Het Privacy Shield was niet de enige manier om voor een Amerikaanse leverancier te kunnen kiezen. Er zijn namelijk ook nog de Standard Contractual Clauses (SCC’s). De SCC’s zijn een aantal standaardbepalingen, opgesteld door de Europese Commissie, welke bedoeld zijn om een vergelijkbaar beschermingsniveau als in de EER te waarborgen. De SCC’s moeten in hun volledigheid worden overgenomen door de niet-Europese organisatie en mogen niet worden aangepast. Zo zegt de wederpartij contractueel toe om Europese persoonsgegevens te beschermen. Het is wel mogelijk om aanvullende afspraken te maken, zolang deze maar niet afdoen aan het beschermingsniveau. De Europese Commissie biedt ons een variant voor de doorgifte van persoonsgegevens (1) door een Europese verwerkingsverantwoordelijke naar een niet-Europese verwerkingsverantwoordelijke, en (2) door een Europese verwerkingsverantwoordelijke naar een niet-Europese verwerker.
Maar zoals dat gaat in privacyland, zegt men niet zomaar ja en amen wanneer de wetgever met een oplossing komt. Ook de SCC’s zijn niet onbekritiseerd. Zo zijn ze inmiddels ouder dan de iPhone (respectievelijk 2001, 2004 en, oké dan, 2010), en houden ze meer dan twee jaar nadat de AVG van toepassing is, nog geen rekening met de nieuwe privacywet. Daarnaast wordt er nog altijd niet één lijn getrokken voor de relatie Europese verwerker naar niet-Europese subverwerker, want in deze verhouding kunnen de partijen geen gebruik maken van de SCC’s. Ook worden de SCC’s een spreekwoordelijke papieren tijger genoemd. De wederpartij gaat akkoord en wordt ‘veilig’ geacht, maar in realiteit verdwijnt het papier in de la, en wordt de sleutel weggegooid.
Waar de heer Schrems, en nu ook het Europese Hof een probleem mee had, ligt iets genuanceerder. De vraag die aan het Hof werd gesteld, was of de SCC’s, by design, een passend beschermingsniveau kunnen bieden, ongeacht de wetten die in het ontvangende land van toepassing zijn. Het Hof oordeelt van wel. Wel kunnen er extra stappen noodzakelijk zijn, afhankelijk van het recht in het derde land. Zo moeten Europese organisaties en toezichthouders bijvoorbeeld toetsen of deze wetten strijdig zijn met de SCC’s (spoiler alert: bij Amerikaans datagraaien is het antwoord ja). Anderzijds moeten ontvangende partijen de Europese exporteur informeren wanneer zij denken dat hun wetten in strijd zijn met de SCC’s. Is er strijd? Dan dient de exporteur de verwerking te staken en mogen er dus wederom geen persoonsgegevens doorgegeven worden buiten de EER.
De SCC’s als mechanisme blijven dus geldig. Wel legt het Hof extra verantwoordelijkheid bij de Europese ondernemer en diens toezichthouders. Zij dienen te controleren en te bepalen of het recht van het ontvangende land niet afdoet aan het beschermingsniveau dat de SCC’s (behoren te) creëren. Voor de VS is dat wel het geval: door de Schrems ll zaak werd duidelijk dat de VS onvoldoende beschermingsniveau biedt.
Paniek?
Een beetje. De uitspraak d.d. 16 juli 2020 heeft per direct gevolgen voor de praktijk. Elke organisatie die zaken doet met een Amerikaanse leverancier, doet er goed aan om zichzelf de vraag te stellen: ‘is het echt noodzakelijk om mijn gegevens de Atlantische Oceaan over te sturen, of heb ik een Europees alternatief?’. Bij vragen zal vanaf nu een ijzersterk verhaal klaar moeten liggen waarom dit inderdaad noodzakelijk is. De verantwoordelijkheid wordt echter gedeeld. De ogen zijn zeer zeker ook gericht op de nationale privacytoezichthouders en de wetgever om met een passende, en vooral praktische oplossing te komen. Om jouw organisatie in de tussentijd een steuntje in de rug te geven, hebben wij een FAQ gemaakt met de meest voorkomende vragen én antwoorden. Houd onze site in de gaten en abonneer je op onze nieuwsbrief om als eerste op de hoogte te zijn!
Deze blog is geschreven door Linde Mensink en Laura Monhemius.
