Het zal velen van jullie niet ontgaan zijn dat op 16 juli het Privacy Shield ongeldig werd verklaard door het Europese Hof van Justitie in de zogenaamde Schrems II-zaak. Inmiddels zijn we (bijna) zeven weken verder en heeft menige organisatie wel of geen stappen genomen naar aanleiding hiervan. Welke stappen zijn zoal gezet en wat kun je nog doen?
Wat was er ook alweer gebeurd?
Wanneer persoonsgegevens buiten de Europese Economische Ruimte (EER) worden verwerkt, zijn passende waarborgen nodig om een met de Algemene verordening gegevensbescherming (AVG) vergelijkbaar beschermingsniveau te creëren. Twee manieren daarvoor waren Privacy Shield-zelfcertificering door Amerikaanse partijen, of het sluiten van Standard Contractual Clauses (SCC’s) voor alle landen buiten de EER (waarvoor geen adequaatheidsbesluit is afgegeven door de Europese Commissie). Op 16 juli voelde het alsof er een bom afging in Privacyland: het Europese Hof verklaarde dat doorgifte naar de VS op grond van het Privacy Shield niet meer was toegestaan. Het Privacy Shield bood namelijk, net als diens voorganger Safe Harbor, niet genoeg waarborgen om persoonsgegevens van Europeanen te beschermen.
Ook de SCC’s kwamen er niet ongeschonden vanaf: het mechanisme blijft geldig, maar organisaties komen er niet langer mee weg om hier een krabbel onder te zetten en aan te nemen dat dit voldoende is. Het Hof, en ook de European Data Protection Board (EDPB) geven duidelijk aan dat ook de wetgeving in het ontvangende land getoetst dient te worden. Wanneer de betreffende wetgeving namelijk afdoet aan het beschermingsniveau dat de SCC’s creëren, zijn er alsnog geen passende waarborgen voor doorgifte aanwezig. Volgens het Hof is dit het geval voor de VS: verregaande bevoegdheden voor Amerikaanse inlichtingen- en veiligheidsdiensten maken, ironisch genoeg, dat het land niet veilig is.
Hoe kunnen we nu verder?
Wat we de afgelopen weken hebben gezien is dat organisaties verschillende stappen kunnen nemen als reactie op de uitspraak. Soms wordt de kat uit de boom gekeken, soms worden snelle stappen gezet om binnen Europa te blijven. Een goede eerste stap is in ieder geval om te inventariseren welke leveranciers, tools en/of apps allemaal gebruikt worden en waar de gegevens daadwerkelijk verwerkt worden (ook door subverwerkers). Voor zover dit nog niet in het verwerkingsregister is opgenomen, is dat handig om te doen.
Als blijkt dat gegevens naar de VS worden doorgegeven, dient te worden gecontroleerd welke waarborgen hiervoor aanwezig waren. Als dit enkel het Privacy Shield was, is dit per 16 juli ‘onveilig’. Als dit zowel Privacy Shield als de SCC’s waren, is het risico minder groot, vooral als de leverancier kan aantonen extra waarborgen te hebben genomen om persoonsgegevens te beschermen tegen de Amerikaanse overheid. Vervolgens komt er dan ook een stukje due diligence aan te pas om te kijken hoe de betreffende leverancier met de uitspraak omgaat. Max Schrems zelf heeft een vragenlijstje gepubliceerd die naar Amerikaanse leveranciers of leveranciers met Amerikaanse banden gestuurd kan worden. Let wel: voor het onderhouden van goede banden, zal de toon wat moeten worden aangepast.
Afhankelijk van de reactie van de leverancier dient de organisatie een afweging te maken over de noodzakelijkheid van het blijven gebruiken van de betreffende dienst. Wordt het gebruik gecontinueerd, dan zal een goed verhaal klaar moeten liggen bij vragen van ofwel de klant, ofwel de toezichthouder.
Wat vindt de toezichthouder?
De Autoriteit Persoonsgegevens heeft helaas nog geen reactie gegeven over het statement van de EDPB dat bij voortzetting van de samenwerking met Amerikaanse partijen de toezichthouder moet worden geïnformeerd. Hoe dit er praktisch uit moet zien, weten we dus nog niet.
Inmiddels zijn wel de gesprekken gestart over een Safe Harbor/Privacy Shield 3.0. De uitspraak van het Hof duidt echter op fundamenteel verschillende visies tussen Europa en de VS. Het is dus maar zeer de vraag of een nieuwe versie wel overeind blijft staan.