Privacy Shield ongeldig door Schrems-II:
kan ik clouddiensten nog gebruiken?

Verhalen uit de praktijk

In Schrems-II heeft Het Europese Hof  Privacy Shield verdrag ongeldig verklaard, omdat  het de privacy van EU-burgers te weinig beschermd. Wij krijgen vragen van FG's en Privacy Officers - en hun opdrachtgevers of klanten - omdat veel organisaties persoonsgegevens op basis van Privacy Shield doorgeven aan partijen in de VS en Canada, zoals Google en Microsoft. Moet het gebruik Google, Office 365, of Mailchimp stoppen? 

In dit artikel:

  • samenvatting van het Schrems II arrest
  • overzicht bescherming bij doorgifte van persoongegevens buiten de EER
  • waarom biedt Privacy Shield geen bescherming van persoonsgegevens?
  • hoe kan ik Privacy Shield omzeilen; welke alternatieven zijn er voor Privacy Shield?
  • wat betekent Schrems-II voor verantwoordelijken van verwerking van persoonsgegevens, die gegevens delen met Google, Microsoft, of Mailchimp; wat moet ik doen?

Consequenties van het Schrems-II arrest in het kort

Privacy Shield is met onmiddellijke ingang ongeldig verklaard en dat heeft voor veel bedrijven en instellingen consequenties. Welke consequenties er voor u zijn hangt af van de mate waarin uw bedrijfsvoering afhankelijk is van Amerikaanse partijen. Daarom is het - nog meer dan voorheen - zaak om inzichtelijk te hebben welke persoonsgegevens door uw organisatie worden verwerkt, wáár deze gegevens worden opgeslagen en wat de afspraken zijn met de partijen waarmee u deze gegevens deelt. Alleen dan kunt u beargumenteerd besluiten om doorgifte (onder voorwaarden) voort te zetten of te staken.

In hoeverre het alternatief op het Privacy Shield, namelijk modelcontractbepalingen (“standard contractual clauses”), op langere termijn houdbaar blijft, is onzeker. Vooralsnog is het de aangewezen basis voor rechtmatige doorgifte naar de VS, wanneer het staken daarvan geen optie is.

De doorgifte van persoonsgegevens buiten de EU: Hoe zit het ook alweer?

De doorgifte (“exporteren”) van persoonsgegevens naar een land buiten de EU (of eigenlijk: EER) is alleen toegestaan als het beschermingsniveau bij de partij in het betreffende land minstens even hoog is als het niveau binnen de EU. Het is aan de verwerkingsverantwoordelijke om ervoor te zorgen dat een passend beschermingsniveau wordt gewaarborgd. Er zijn verschillende manieren om dat te realiseren:

  1. Doorgifte op basis van een “adequaatheidsbesluit”
    Als een land buiten de EU in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een “adequaatheidsbeslissing” nemen. De EC stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG.
    Een adequaatheidsbesluit kan beperkt zijn tot een bepaalde sector of voorschrijven dat de partij in het buitenland zich committeert aan gedragsregels, die in een internationale overeenkomst zijn vastgelegd tussen de EU en het betreffende land.
    Privacy Shield is een voorbeeld van een dergelijke internationale overeenkomst.
     
  2. Doorgifte op basis van modelcontractbepalingen (SSC)
    Als er geen sprake is van een adequaatheidsbeslissing, dan moeten er andere passende waarborgen zijn als een organisatie persoonsgegevens wil doorgeven aan een land buiten de EU. Dat kan met modelcontractbepalingen die door de Europese Commissie zijn vastgesteld. 
    De AVG stelt wel als voorwaarde dat wanneer een organisatie deze instrumenten wil gebruiken voor doorgifte, dit samen moeten gaan met bindende en afdwingbare toezeggingen van de partij in het derde land om de juiste waarborgen toe te passen.
     
  3. Doorgifte op basis van bindende bedrijfsvoorschriften (BCR)
    BCR zijn door de toezichthoudende autoriteit getoetste gedragsregels voor doorgifte van persoonsgegevens naar landen zonder adequaat beschermingsniveau (derde landen) wereldwijd die gelden binnen multinationals. Alle werknemers en entiteiten binnen het concern moeten zich houden aan de opgestelde bedrijfsvoorschriften.
    N.B.: Artikel 49 van de AVG biedt mogelijkheden om in een aantal specifieke gevallen persoonsgegevens door te geven aan een land waarvoor geen adequaatheidsbeslissing bestaat, bijvoorbeeld wanneer het gaat om een incidentele verwerking of wanneer er expliciete toestemming van de betrokkene is verkregen. 

Privacy Shield biedt geen passende bescherming

Volgens het Hof van Justitie biedt het Privacy Shield-verdrag onvoldoende bescherming voor de privacy van EU-burgers, onder meer omdat het geen beperkingen oplegt aan de rechten van Amerikaanse inlichtingen- en veiligheidsdiensten. Op grond van Amerikaanse wetgeving hebben de inlichtingen- en veiligheidsdiensten het recht om gegevens van EU-burgers in te zien en te gebruiken. Dit recht is niet beperkt tot strikt noodzakelijke gegevens.

Daarnaast stelt het Hof dat het ombudsman-mechanisme niet genoeg bescherming biedt wanneer EU-burgers een klacht hebben over de verwerking van hun persoonsgegevens in de VS. Het mechanisme kan de onafhankelijkheid van de ombudsman en diens bevoegdheid om bindende besluiten te nemen niet verzekeren.

Omdat het Privacy Shield geen passende bescherming garandeert, is het met onmiddellijke ingang ongeldig. Daarom kan het Privacy Shield-verdrag niet langer gebruikt worden als basis voor de doorgifte van gegevens naar de VS.

Wat zijn alternatieven voor Privacy Shield?

In het Schrems-II arrest staan ook de modelcontractbepalingen ter discussie. Volgens het Hof kunnen modelcontracten nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Maar alleen als een gelijkwaardig beschermingsniveau in de praktijk wordt gewaarborgd.

Of het mechanisme van modelbepalingen in een concreet geval het gewenste beschermingsniveau kan waarborgen, moet worden beoordeeld door de verwerkingsverantwoordelijke, eventueel in samenspraak met de (buitenlandse) ontvanger van de gegevens. Het moge echter duidelijk zijn dat afspraken tussen twee partijen de rechten van de Amerikaanse inlichtingen- en veiligheidsdiensten niet kunnen inperken. De European Data Protection Board (EDPB) zal nog met een advies komen over de omstandigheden waaronder modelcontractbepalingen desondanks een geldige grondslag voor doorgifte kunnen vormen.

Bekende technologiebedrijven in de VS lijken vooralsnog in te zetten op modelcontractbepalingen als grondslag voor doorgifte; in verschillende aankondigingen hebben onder meer Google, Microsoft en Salesforce aangegeven dat rechtsgeldige doorgifte op deze manier gegarandeerd kan worden. De toekomst zal uitwijzen in welke situaties dit mechanisme houdbaar is. De SCC zijn namelijk gebaseerd op een richtlijn uit 1995 en niet op de AVG, hiervoor moet een oplossing worden geboden door de Europese Commissie. Die oplossing is er op dit moment nog niet.

Wat betekent Schrems-II voor doorgifte van persoonsgegevens naar verwerkers in de VS?

Het Privacy Shield-verdrag is voor veel organisaties de grondslag voor doorgifte van persoonsgegevens aan partijen in de VS, bijvoorbeeld voor het gebruik van clouddiensten als Office 365, OneDrive, G suite en Mailchimp. Een lijst van de partijen die zich hebben aangesloten bij het Privacy Shield is te vinden op https://www.privacyshield.gov/list. De rechtsgeldigheid van doorgifte van gegevens aan deze partijen staat met de uitspraak van 16 juli per direct ter discussie. Wat kunt u doen?

1.   Zorg voor inzicht

Zorg dat u voldoende inzicht heeft in de persoonsgegevens die door uw organisatie worden verwerkt. Dat is niets nieuws; het bijhouden van een overzicht van de verwerkingen in uw organisatie was al verplicht. Een slim ingericht verwerkingsregister geeft snel de informatie die u nodig heeft, bijvoorbeeld over gegevensuitwisseling met partijen in de Verenigde Staten. Als u nog niet zover bent kunt u ook uw verwerkersovereenkomsten nog eens kritisch doornemen. Zoek naar passages die iets zeggen over de opslaglocatie van de verwerker en zoek naar informatie over subverwerkers.

Controleer bovendien of uw privacyverklaring up-to-date is: blijkt hieruit duidelijk welke gegevens worden gedeeld met partijen buiten de EU? Als verwerkingsverantwoordelijke is het altijd in uw voordeel wanneer u transparant bent over het uitwisselen van persoonsgegevens. Benoem de exacte locaties waar persoonsgegevens worden verwerkt. Vaak zijn betrokkenen al gerust gesteld wanneer u als partij duidelijkheid verschaft. Iets niet benoemen uit angst voor vragen werkt eerder averechts. 

2.   Bepaal of uw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten.

Maakt u gebruik van clouddiensten in de VS of van Amerikaanse subverwerkers? Stel dan vast of er persoonsgegevens worden doorgegeven aan die partij en – zo ja – om wat voor persoonsgegevens het gaat (zijn er bijvoorbeeld bijzondere/gevoelige persoonsgegevens bij?). Wanneer er sprake is van doorgifte kunt u contact opnemen met de verwerker om te vragen hoe zij over de uitwisseling denken en wat zij doen om een passend beschermingsniveau te waarborgen. Het verschilt per geval of een passend niveau gewaarborgd kan worden. Dit hangt o.a. af van de aard van de persoonsgegevens. Uit de uitspraak van het Hof kan worden afgeleid dat hier kritisch naar moet worden gekeken.
Is er geen sprake van doorgifte van persoonsgegevens buiten de EU/EER? Dan hoeft u geen aanvullende maatregelen te nemen.

3.    Welke afspraken liggen ten grondslag aan de doorgifte naar de Verenigde Staten?

Privacy Shield

Het Privacy Shield is ongeldig verklaard en daarmee is er geen adequaatheidsbesluit meer voor de Verenigde Staten. Dat betekent dat u geen gegevens meer kunt doorgeven aan een partij in de Verenigde Staten, tenzij er “passende waarborgen” worden geboden. Zoals hierboven benoemd bieden modelcontractbepalingen van de Europese Commissie vooralsnog een alternatief. Het blijft echter uw verantwoordelijkheid als verwerkingsverantwoordelijke om te bepalen of de afspraken met de Amerikaanse partij passende bescherming bieden.

Modelcontractbepalingen

Modelcontractbepalingen kunnen wel gebruikt blijven worden voor doorgifte aan landen buiten de EU/EER, maar alleen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd. Dit kan betekenen dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen. Welke waarborgen dat zijn en of dit mechanisme op de lange termijn standhoudt, is op dit moment lastig te voorspellen. Amerikaanse techbedrijven lijken hun uitvlucht te maken richting de modelbepalingen (Engels: Standard Contractual Clauses of SCC), maar leggen de verantwoordelijkheid voor het bepalen van de rechtsgeldigheid daarvan veelal bij u als verwerkingsverantwoordelijke (“controller”). Complicerende factor is dat organisaties in Amerika zich aan de daar geldende wetgeving hebben te houden. Modelcontractbepalingen kunnen daar weinig aan veranderen.

4.    Overweeg alternatieven

Als uw organisatie persoonsgegevens doorgeeft aan een partij in de Verenigde Staten, waarbij u geen aanvullende afspraken kunt maken om een passende bescherming te waarborgen, overweeg dan alternatieven voor de betreffende dienst. Is er een vergelijkbare dienst waarbij de gegevens wel binnen de EU/EER blijven? Dan kan een overstap de moeite waard zijn. Een relatief gemakkelijke stap kan bijvoorbeeld zijn om uw favoriete nieuwsbriefdienstverlener uit de VS (lees: MailChimp) te vervangen voor een Europees alternatief. MailChimp is namelijk nog niet helemaal doordrongen van het ongeldig verklaren van het Privacy Shield: 

Mocht een alternatieve aanbieder voor u niet afdoende zijn, dan zou u ook expliciete toestemming voor de doorgifte aan de VS kunnen vragen aan uw abonnees. Hoewel dit natuurlijk negatieve gevolgen kan hebben voor uw bestand aan nieuwsbriefabonnees. 

Ook kunt u zich afvragen of de betreffende dienst wel noodzakelijk is voor uw bedrijfsvoering.
Weeg hierin mee welke persoonsgegevens worden doorgegeven, zowel qua omvang van het gegevensbestand, als de gevoeligheid van de gegevens.

5.    Zorg voor vastlegging en verantwoording

Zorg bij alle beslissingen die u neemt, dat u vastlegt welke belangenafweging en argumentatie daaraan is voorafgegaan. Eén van de basisprincipes van de AVG is dat u rekenschap kunt afleggen over de manier waarop u persoonsgegevens verwerkt. Het is daarom van belang dat u kunt aantonen dat u weloverwogen keuzes hebt gemaakt om doorgifte van gegevens naar een partij in de VS al dan niet voort te zetten. Denk hierbij aan schriftelijke afspraken met uw (sub-)verwerkers of het archiveren van interne notulen waarin besluitvorming is vastgelegd. Let op dat deze onderwerpen tot op het hoogste niveau in uw organisatie worden besproken. 

6.    Wees bewust van de risico’s

In theorie kan de Autoriteit Persoonsgegevens (AP) organisaties beboeten op het moment dat er nu nog verwerkingen plaatsvinden op grond van het Privacy Shield. Er zijn namelijk geen passende waarborgen voor de bewuste verwerkingen. De basisboete die hiervoor is vastgelegd in de boetebeleidsregels bedraagt 525.000 euro. Is de kans groot dat de AP hier nu al op gaat handhaven? Waarschijnlijk niet. Maar weet dat er op termijn een beslissing zal moeten worden genomen over de vraag: hoe gaan we verder met onze verwerkingen in derde landen, na het wegvallen van het Privacy Shield?

Conclusie

Het wegvallen van het Privacy Shield heeft directe gevolgen voor uw bedrijfsvoering en bedrijfsrisico’s, voor zover deze afhankelijk zijnvan partijen die persoonsgegevens verwerken in de Verenigde Staten. Daarom is het zaak om inzichtelijk te krijgen of uw organisatie persoonsgegevens doorgeeft aan Amerikaanse partijen en op basis van welke afspraken dit gebeurt.

Amerikaanse techbedrijven nemen hun toevlucht naar de Standard Contractual Clauses, maar het is alles behalve zeker dat dit mechanisme stand houdt, aangezien het de grootste pijnpunten uit de Schrems-II uitspraak niet lijkt te kunnen wegnemen.

Vooralsnog zijn alle ogen gericht op de Europese toezichthouders en de European Data Protection Board (EDPB) voor de broodnodige richtinggevende adviezen. In een persbericht van 10 augustus heeft de Europese Commissie al aangegeven in gesprek te zijn met de VS over het vormgeven van een verbeterde versie van het Privacy Shield.

Dit is een gezamenlijke bijdrage van Rinus Cost (Privaty), Leonard van der Leeden (De Functionaris) en Robert-Jan de Vries (Privacy Control Center)

Geplaatst 11-08-20

Heeft u nog vragen?

Heeft u vragen over inhoudelijke ondersteuning bij de organisatie van uw activiteiten rondom de verwerking en bescherming van persoonsgegevens?

Probeer Privacy Control Center gratis

Start uw proefabonnement en bekijk zelf de mogelijkheden.