Wat betekent Schrems-II voor doorgifte van persoonsgegevens
naar verwerkers in de VS?

Verhalen uit de praktijk

Het Privacy Shield-verdrag is voor veel organisaties de grondslag voor doorgifte van persoonsgegevens aan partijen in de VS, bijvoorbeeld voor het gebruik van clouddiensten als Office 365, OneDrive, G suite en Mailchimp. Een lijst van de partijen die zich hebben aangesloten bij het Privacy Shield is te vinden op https://www.privacyshield.gov/list. De rechtsgeldigheid van doorgifte van gegevens aan deze partijen staat met de uitspraak van 16 juli per direct ter discussie. Wat kunt u doen?

1. Zorg voor inzicht

Zorg dat u voldoende inzicht heeft in de persoonsgegevens die door uw organisatie worden verwerkt. Dat is niets nieuws; het bijhouden van een overzicht van de verwerkingen in uw organisatie was al verplicht. Een slim ingericht verwerkingsregister geeft snel de informatie die u nodig heeft, bijvoorbeeld over gegevensuitwisseling met partijen in de Verenigde Staten. Als u nog niet zover bent kunt u ook uw verwerkersovereenkomsten nog eens kritisch doornemen. Zoek naar passages die iets zeggen over de opslaglocatie van de verwerker en zoek naar informatie over subverwerkers.

Controleer bovendien of uw privacyverklaring up-to-date is: blijkt hieruit duidelijk welke gegevens worden gedeeld met partijen buiten de EU? Als verwerkingsverantwoordelijke is het altijd in uw voordeel wanneer u transparant bent over het uitwisselen van persoonsgegevens. Benoem de exacte locaties waar persoonsgegevens worden verwerkt. Vaak zijn betrokkenen al gerust gesteld wanneer u als partij duidelijkheid verschaft. Iets niet benoemen uit angst voor vragen werkt eerder averechts. 

2.    Bepaal of uw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten.

Maakt u gebruik van clouddiensten in de VS of van Amerikaanse subverwerkers? Stel dan vast of er persoonsgegevens worden doorgegeven aan die partij en – zo ja – om wat voor persoonsgegevens het gaat (zijn er bijvoorbeeld bijzondere/gevoelige persoonsgegevens bij?). Wanneer er sprake is van doorgifte kunt u contact opnemen met de verwerker om te vragen hoe zij over de uitwisseling denken en wat zij doen om een passend beschermingsniveau te waarborgen. Het verschilt per geval of een passend niveau gewaarborgd kan worden. Dit hangt o.a. af van de aard van de persoonsgegevens. Uit de uitspraak van het Hof kan worden afgeleid dat hier kritisch naar moet worden gekeken.
Is er geen sprake van doorgifte van persoonsgegevens buiten de EU/EER? Dan hoeft u geen aanvullende maatregelen te nemen.

3.    Welke afspraken liggen ten grondslag aan de doorgifte naar de Verenigde Staten?

Privacy Shield

Het Privacy Shield is ongeldig verklaard en daarmee is er geen adequaatheidsbesluit meer voor de Verenigde Staten. Dat betekent dat u geen gegevens meer kunt doorgeven aan een partij in de Verenigde Staten, tenzij er “passende waarborgen” worden geboden. Zoals hierboven benoemd bieden modelcontractbepalingen van de Europese Commissie vooralsnog een alternatief. Het blijft echter uw verantwoordelijkheid als verwerkingsverantwoordelijke om te bepalen of de afspraken met de Amerikaanse partij passende bescherming bieden.

Modelcontractbepalingen

Modelcontractbepalingen kunnen wel gebruikt blijven worden voor doorgifte aan landen buiten de EU/EER, maar alleen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd. Dit kan betekenen dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen. Welke waarborgen dat zijn en of dit mechanisme op de lange termijn standhoudt, is op dit moment lastig te voorspellen. Amerikaanse techbedrijven lijken hun uitvlucht te maken richting de modelbepalingen (Engels: Standard Contractual Clauses of SCC), maar leggen de verantwoordelijkheid voor het bepalen van de rechtsgeldigheid daarvan veelal bij u als verwerkingsverantwoordelijke (“controller”). Complicerende factor is dat organisaties in Amerika zich aan de daar geldende wetgeving hebben te houden. Modelcontractbepalingen kunnen daar weinig aan veranderen.

4.    Overweeg alternatieven

Als uw organisatie persoonsgegevens doorgeeft aan een partij in de Verenigde Staten, waarbij u geen aanvullende afspraken kunt maken om een passende bescherming te waarborgen, overweeg dan alternatieven voor de betreffende dienst. Is er een vergelijkbare dienst waarbij de gegevens wel binnen de EU/EER blijven? Dan kan een overstap de moeite waard zijn. Een relatief gemakkelijke stap kan bijvoorbeeld zijn om uw favoriete nieuwsbriefdienstverlener uit de VS (lees: MailChimp) te vervangen voor een Europees alternatief. MailChimp is namelijk nog niet helemaal doordrongen van het ongeldig verklaren van het Privacy Shield: 

Mocht een alternatieve aanbieder voor u niet afdoende zijn, dan zou u ook expliciete toestemming voor de doorgifte aan de VS kunnen vragen aan uw abonnees. Hoewel dit natuurlijk negatieve gevolgen kan hebben voor uw bestand aan nieuwsbriefabonnees. 

Ook kunt u zich afvragen of de betreffende dienst wel noodzakelijk is voor uw bedrijfsvoering.
Weeg hierin mee welke persoonsgegevens worden doorgegeven, zowel qua omvang van het gegevensbestand, als de gevoeligheid van de gegevens.

5.    Zorg voor vastlegging en verantwoording

Zorg bij alle beslissingen die u neemt, dat u vastlegt welke belangenafweging en argumentatie daaraan is voorafgegaan. Eén van de basisprincipes van de AVG is dat u rekenschap kunt afleggen over de manier waarop u persoonsgegevens verwerkt. Het is daarom van belang dat u kunt aantonen dat u weloverwogen keuzes hebt gemaakt om doorgifte van gegevens naar een partij in de VS al dan niet voort te zetten. Denk hierbij aan schriftelijke afspraken met uw (sub-)verwerkers of het archiveren van interne notulen waarin besluitvorming is vastgelegd. Let op dat deze onderwerpen tot op het hoogste niveau in uw organisatie worden besproken. 

6.    Wees bewust van de risico’s

In theorie kan de Autoriteit Persoonsgegevens (AP) organisaties beboeten op het moment dat er nu nog verwerkingen plaatsvinden op grond van het Privacy Shield. Er zijn namelijk geen passende waarborgen voor de bewuste verwerkingen. De basisboete die hiervoor is vastgelegd in de boetebeleidsregels bedraagt 525.000 euro. Is de kans groot dat de AP hier nu al op gaat handhaven? Waarschijnlijk niet. Maar weet dat er op termijn een beslissing zal moeten worden genomen over de vraag: hoe gaan we verder met onze verwerkingen in derde landen, na het wegvallen van het Privacy Shield?

Dit artikel is onderdeel van onze serie over het Schrems-II arrest.

Geplaatst 05-08-20

Heeft u nog vragen?

Heeft u vragen over inhoudelijke ondersteuning bij de organisatie van uw activiteiten rondom de verwerking en bescherming van persoonsgegevens?

Probeer Privacy Control Center gratis

Start uw proefabonnement en bekijk zelf de mogelijkheden.