blog

    Het EU-VS Privacy Shield ongeldig: deze vier stappen moet je nu zetten

    Het EU-VS Privacy Shield ongeldig: deze vier stappen moet je nu zetten

    Opslag van gegevens in de Amerikaanse cloud, het gebruik van cookies, communicatie via social media kanalen of het versturen van ‘e-mailings’ via een Amerikaanse dienstverlener. Vrijwel iedere onderneming verwerkt gegevens van klanten, websitebezoekers of medewerkers in de VS. Maar op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig. Daarom is actie vereist. Waarom? In deze blog leg ik uit waar de zaak over gaat, waarom actie vereist is en welke stappen je moet zetten.

    Persoonsgegevens naar de VS en de AVG

    De Algemene Verordening Gegevensbescherming (AVG) geeft maar een aantal mogelijkheden om persoonsgegevens te mogen doorgegeven aan landen buiten de Europese Economische Ruimte. Doorgeven is een ruim begrip. Niet alleen opslaan van gegevens, maar ook toegang tot de gegevens vanuit een land buiten de EER valt daaronder. Denk aan systeembeheerders die vanuit Amerika toegang hebben tot je systemen voor onderhoud en support.

    Het EU-VS Privacy Shield was een mogelijkheid voor doorgifte naar de VS waar veel gebruik van werd gemaakt. Als een Amerikaans bedrijf was geregistreerd op de EU-VS Privacy Shield-lijst, dan mocht je persoonsgegevens doorgeven naar dat bedrijf. Ondanks dat dit systeem was gebaseerd op een besluit van de Europese Commissie, verklaarde het Hof van Justitie van de Europese Unie (het hof) dit besluit ongeldig.

    De eerste Schrems-zaak: Safe Harbour ongeldig, Privacy Shield opvolger

    Het begon met een klacht van de Oostenrijkse student Max Schrems tegen Facebook Ierland. Hij was van mening dat de doorgifte van zijn persoonsgegevens door Facebook Ierland naar servers van het moederbedrijf in Amerika in strijd is met het Europese recht. Volgens Schrems biedt de VS namelijk onvoldoende bescherming van zijn persoonsgegevens.

    In de eerste Schrems-zaak in 2015 had het hof het toenmalige Safe Harbour mechanisme ongeldig verklaard. De opvolger daarvan was het EU-VS Privacy Shield.

    De tweede Schrems-zaak: Privacy Shield ongeldig

    In de Schrems II-zaak is het Privacy Shield nu ook ongeldig verklaard door het hof.

    Geen passend beschermingsniveau persoonsgegevens

    De reden die het hof daarvoor geeft is dat de VS geen passend beschermingsniveau voor persoonsgegevens waarborgt, zoals de AVG vereist.

    De AVG vereist dat het derde land waar de gegevens toegankelijk zijn daadwerkelijke bescherming biedt voor de rechten en vrijheden van betrokkenen, zoals die binnen de EU worden gewaarborgd. Het gaat dan met name om de grondrechten zoals opgenomen in het Handvest van de grondrechten van de EU.

    Persoonsgegevens makkelijk te verkrijgen door Amerikaanse inlichtingendiensten

    Voornamelijk de mogelijkheid voor de Amerikaanse inlichtingendiensten om grote hoeveelheden gegevens in bulk te verkrijgen op basis van algemene zoekcriteria, zonder dat onderscheid wordt gemaakt naar de persoon en zonder voorafgaande rechterlijke toetsing, leidt tot deze conclusie van het hof.

    Bovendien kent de Amerikaanse wetgeving voor Europeanen geen doeltreffende toegang tot de rechter als hun persoonsgegevens door Amerikaanse overheidsinstanties worden verzameld en ingezien. Ook daarom biedt de VS volgens het hof niet de waarborgen die de AVG vereist.

    Geldigheid van modelcontracten

    Het hof oordeelt tevens over de geldigheid van de zogenaamde modelcontracten van de Europese Commissie. Het sluiten van deze modelcontracten is een mogelijkheid om persoonsgegevens te mogen doorgeven aan een verwerker buiten de EER.

    Facebook Ierland maakte gebruik van een dergelijk modelcontract. Persoonsgegevens van de Facebookprofielen van inwoners van de EU werden op de servers van haar moederbedrijf in de VS opgeslagen.

    In de modelcontracten is geregeld dat zowel de in de EU gevestigde verzender van de gegevens als de ontvanger zullen moeten nagaan of de wetgeving in het derde land wel toestaat dat de ontvanger kan voldoen aan de verplichtingen uit het contract, waaronder de naleving van de vereisten uit de AVG. Kan de ontvanger dat niet, dan zal de doorgifte moeten worden gestaakt of opgeschort, aldus het hof. Het is ook de taak van de Europese toezichthouders om daarop toe te zien.

    Modelcontracten geldig, maar…

    Het hof heeft geoordeeld dat de modelcontracten geldig zijn. Maar het hof voegt daaraan toe dat bij iedere doorgifte naar een land buiten de EER beoordeeld moet worden of het recht van dat derde land wel passende bescherming biedt voor de persoonsgegevens die op basis van dat contract worden doorgegeven.

    Geen gedoogperiode: wat nu?

    Deze uitspraak van het hof heeft grote gevolgen voor iedere doorgifte van persoonsgegevens naar een land buiten de EER. En vooral voor de doorgifte naar de VS.

    Ondanks deze grote gevolgen en de onzekerheid over de oplossing waar de Europese Commissie mee zal komen, hebben de Europese toezichthouders aangekondigd dat er geen gedoogperiode is.

    Doorgifte op grond van EU-VS Privacy Shield is vanaf 16 juli 2020 in strijd met de AVG, met alle risico’s van dien. Maak je gebruik van modelcontracten, dan zal je een beoordeling moeten maken van de bescherming die het land biedt. Als die onvoldoende is, zijn aanvullende maatregelen nodig.

    Welke eerste stappen moet je alvast zetten?

    Omdat bijna iedere onderneming wel persoonsgegevens in of via de VS verwerkt is het voor alle organisaties van belang om actie te ondernemen. De European Data Protection Board waar de Europese toezichthouders in zijn verenigd heeft Frequently Asked Questions gepubliceerd.

    1. Ga na welke gegevens buiten de EER worden verwerkt

    Als je gegevens in de cloud hebt staan, ga dan na waar de servers staan. Vergeet ook het gebruik van cookies, marketingtools, social media kanalen en videobelsystemen niet. Of de gegevens buiten de EER komen staat als het goed is in je verwerkingsregister vermeld. Controleer wel of dat register is bijgewerkt.

    2. Check de contracten met je leveranciers

    Persoonsgegevens kunnen ook via je (IT-)leveranciers naar de VS of andere landen buiten de EER komen. Dat staat opgenomen in de verwerkersovereenkomst met die leveranciers. Mocht dat niet duidelijk zijn, vraag het dan na bij je leverancier.

    3. Controleer op welke basis de gegevens worden doorgegeven

    Is dit op grond van het EU-VS Privacy Shield? Zoek dan naar een alternatief. Vraag de Amerikaanse ontvanger naar een voorstel.

    Is met de ontvanger een modelcontract gesloten? Dan zal nagegaan moeten worden of aanvullende waarborgen nodig zijn. Zo zal je aan de ontvanger kunnen vragen welke waarborgen die heeft getroffen met betrekking tot de gegevens, zoals bijvoorbeeld ‘end-to-end encryption’, zodat de gegevens niet leesbaar zijn voor overheidsinstanties.

    4. Wijzig je privacyverklaring

    Als je in je privacyverklaring hebt staan dat bepaalde gegevens worden doorgegevens op basis van de EU-VS Privacy Shield, dan is het verstandig om dat te schrappen. Als je gebruik maakt van een modelcontract noem dit in de verklaring. Neem daarnaast een hyperlink op naar het standaard modelcontract van de Europese Commissie.

    Heb je nog geen alternatief voor de doorgifte vanwege de Schrems II uitspraak? Zorg dan dat je transparant bent. Maak kenbaar dat er vanwege de uitspraak wordt gezocht naar een alternatief om de gegevens goed te blijven beschermen. Transparantie is een belangrijk uitgangspunt van de AVG.

    Toekomstperspectief

    Het is natuurlijk niet mogelijk om de Amerikaanse regelgeving te veranderen of alle doorgiftes naar de VS van de ene op de andere dag te stoppen. De Autoriteit Persoonsgegevens geeft aan dat de European Data Protection Board binnenkort met meer informatie zal komen over aanvullende maatregelen die organisaties kunnen treffen bij de modelcontracten. De Europese Commissie geeft aan druk bezig te zijn met nieuwe modelcontracten.

    Ook zullen de onderhandelingen met Amerika weer worden voortgezet om tot een andere oplossing te komen. De kans dat de Autoriteit Persoonsgegevens in die tussentijd zal handhaven acht ik niet groot. Maar het is van belang om in de gaten te houden met welke nieuwe informatie de toezichthouders komen. Uiteraard houden wij je op de hoogte.

    Vragen?

    Heb je vragen over de doorgifte van persoonsgegevens buiten de EER, of heb je andere privacy-gerelateerde vragen? Neem dan contact op met Monique Hennekens.