Explained: Data delen buiten de EU

Explained: Data delen buiten de EU

Q&A

Q&A
  1. Is deze uitspraak definitief?

    Ja, het Europees Hof van Justitie is de hoogste rechter van Europa. De uitspraak heeft direct effect in de hele Europese Unie en er is geen mogelijkheid om in beroep te gaan. In theorie zou het Hof zich in een latere zaak kunnen bedenken, maar deze uitspraak past volledig in de lijn die het Hof met de Schrems I-uitspraak heeft ingezet. We moeten er daarom van uitgaan dat dit de nieuwe realiteit is.

  2. Waarom is Privacy Shield ongeldig verklaard?

    De zorgen omtrent het delen van data met de Verenigde Staten dateren uit de periode waarin Edward Snowden onthullingen deed over het spionageprogramma van de inlichtingendiensten in de VS. De vergaande bevoegdheden van diensten t.a.v. buitenlanders vormen een belangrijk punt van zorg wanneer gegevens van Europeanen in de VS worden opgeslagen. Het Privacy Shield is het resultaat van afspraken tussen de Europese Commissie en de Amerikaanse regering, waarbij gecertificeerde Amerikaanse organisaties als ‘veilig’ beschouwd mogen worden. Er geldt dan formeel een beschermingsniveau dat in essentie gelijkwaardig is aan dat in de EU. Volgens het Hof kwam dat niet (meer) overeen met de realiteit. De bevoegdheden van inlichtingendiensten vormen een beperking op het recht op gegevensbescherming van Europese burgers. Bovendien kunnen Europese burgers in de VS onvoldoende hun rechten uitoefenen. Dit was voor het Hof voldoende aanleiding om het besluit dat aan het Privacy Shield ten grondslag ligt onrechtmatig te verklaren. Net zoals het dat in 2015 deed met voorloper Safe Harbor.

  3. Kan ik wel nog SCC’s afsluiten?

    Het Europese Hof liet zich naast het ongeldig verklaren van het Privacy Shield ook uit over de modelcontracten van de Europese Commissie. Deze contracten zijn een middel om burgers in Europa een niveau van bescherming te bieden voor hun gegevens dat onafhankelijk is van waar hun gegevens zich in de wereld bevinden. In de AVG is bepaald dat de exporteur moet zorgen voor:

    1. passende waarborgen
    2. afdwingbare rechten
    3. doeltreffende rechtsmiddelen

    Het Hof wijst er in haar uitspraak nadrukkelijk op dat het aan de exporteur is om na te gaan of dat waargemaakt kan worden in het land van bestemming. Het afsluiten van SCC’s als maatregel om data te kunnen doorgeven aan een ontvanger in een niet-EU-land is op zichzelf dus niet onrechtmatig. De verantwoordelijke moet kunnen beargumenteren dat het voor de ontvanger van de data in het land van bestemming mogelijk is om de afspraken uit de SCC’s na te komen. Wie dat niet kan onderbouwen kan daarvoor beboet worden door de toezichthouder.

  4. Zijn mijn bestaande SCC’s nog geldig?

    Officieel is er geen besluit dat deze overeenkomsten ongeldig zijn. Het is door het Hof echter wel duidelijk gemaakt dat er een onderzoeksplicht bij hoort. Wanneer je afspraken hebt gemaakt met ontvangers die in hun lokale rechtssysteem niet in staat zijn om een passend beschermingsniveau te bieden zit je met dilemma. Formeel gezien zou je nog kunnen stellen dat je aan de AVG-verplichting hebt voldaan, tot je van de ontvanger te horen krijgt dat ze hun verplichtingen niet kunnen nakomen. In de praktijk lijkt dit een onhoudbare situatie. Als het land van bestemming niet voldoende waarborgen biedt, kan er geen sprake zijn van doorgifte van gegevens, tenzij je op een of andere manier extra waarborgen weet te treffen. Bijvoorbeeld door de gegevens volledig versleuteld op te slaan, waardoor veiligheidsdiensten niets met de data kunnen doen. Voor de Verenigde Staten lijken deze extra waarborgen (wat deze ook mogen zijn) onmisbaar, het Hof kwam immers in haar besluit over het Privacy Shield zelf tot de conclusie dat het rechtssysteem in de VS onvoldoende waarborgen biedt.

  5. Wat betekent dit in het kader van de Brexit?

    Met het naderende uittreden van het Verenigd Koninkrijk (VK) zal het land daarmee vanzelfsprekend een niet-EU-land worden. Doorgifte van persoonsgegevens naar het VK zal volgens hetzelfde mechanisme moeten gewaarborgd worden als andere landen buiten de EU. Uit de gesprekken over het uittreden van het VK is duidelijk dat het de voorkeur heeft om zo snel mogelijk te beslissen over een adequaatheidsbesluit, waardoor het land de facto alsnog als ‘veilig’ wordt bestempeld. Privacy-experts achten de kans daarop gering doordat het Verenigd Koninkrijk net als de VS over omvangrijke spionagebevoegdheden voor inlichtingendiensten beschikt. Met name de Investigatory Powers Act uit 2016 verleent een brede bevoegdheid om communicatie te onderscheppen en toegang te verkrijgen tot gegevens. Nu in de Schrems II-uitspraak duidelijk wordt wat de consequenties van dergelijk bevoegdheden zijn is zo’n adequaatheidsbesluit wellicht verder weg dan ooit.

    Ook het oordeel over de SCC’s heeft een impact op data doorgifte naar het VK na Brexit. Exporteurs zullen bij het afsluiten van SCC’s als middel voor het zorgen voor een passend beschermingsniveau moeten beoordelen of het rechtssysteem van het Verenigd Koningkrijk genoeg waarborgen biedt. Dat lijkt vrijwel een onmogelijke opgave. Daardoor is het een risico om je op SCC’s te beroepen, een toezichthouder kan alsnog besluiten een boete uit te delen als het onderzoek van de exporteur niet degelijk onderbouwt waarom het land voldoende waarborgen biedt.

    Het tekenen van SCC’s met organisaties in de VS lijkt op dit moment niet meer mogelijk. Als exporteur weet je door de Schrems II-uitspraak dat er door organisaties die vallen onder de Amerikaanse inlichtingenwetgeving geen passend beschermingsniveau gerealiseerd kan worden. Ook de Amerikaanse partij kan deze overeenkomst niet tekenen, omdat ze weten dat ze de verplichtingen die erin staan niet kunnen nakomen.

  6. Wat moet ik doen als ik tot de conclusie kom dat mijn SCC’s onvoldoende waarborgen bieden?

    Wanneer uit je analyse van de omstandigheden van de doorgifte van de gegevens en eventuele aanvullende maatregelen blijkt dat er geen passende waarborgen zijn, dan moet je de doorgifte van persoonsgegevens naar dat land opschorten. Is dat niet mogelijk en moet de doorgifte plaatsvinden? Dan ben je volgens de SCC’s verplicht om dat te melden aan de bevoegde toezichthouder (in Nederland de Autoriteit Persoonsgegevens). De toezichthouder heeft vervolgens de mogelijkheid om een controle te verrichten bij de ontvangen van de gegevens.

  7. Wat zijn aanvullende waarborgen?

    Het Hof legt in de Schrems II uitspraak uit dat exporterende organisaties er met aanvullende maatregelen voor kunnen zorgen dat de gegevens in landen buiten de EU alsnog voldoende beschermd zijn. Dit zou zelfs het geval kunnen zijn bij organisaties die vallen onder de Amerikaanse inlichtingenwetgeving. Het Hof specificeert niet om welke maatregelen het gaat, maar te denken valt dat encryptie hier een uitkomst kan bieden. Wanneer de gegevens zowel versleuteld worden verzonden als opgeslagen, zonder dat de Amerikaanse organisatie over de sleutel beschikt, zou het risico van toegang door een inlichtingendienst ingeperkt kunnen worden.

  8. Kan toestemming van de betrokkene een oplossing bieden?

    De AVG biedt de mogelijkheid om toestemming te hanteren als middel om de doorgifte rechtmatig te maken. Dit maakt het mogelijk om als betrokkene voor je eigen persoonsgegevens te beslissen dat de gegevens doorgegeven mogen worden buiten de EU, bijvoorbeeld door het plaatsen van een bericht op Twitter. Toestemming vragen aan derden kan problematisch zijn, omdat deze toestemming aan alle eisen van de AVG moet voldoen. De toestemming moet vrij, specifiek, ondubbelzinnig en op informatie berust zijn. Bovendien moet de betrokkene die toestemming ook op ieder moment zonder nadelige gevolgen kunnen intrekken.

  9. Hoe weet ik of mijn verwerker data doorgeeft buiten de EU?

    Dat moet beschreven staan in de verwerkersovereenkomst. Daarin hoort te staan of doorgifte toegestaan is. Dat geldt ook voor sub-verwerkers. (Sub-)verwerkers mogen niet zelfstandig beslissen om persoonsgegevens buiten de EU te delen. Daarbij maakt het niet uit of het gaat om de opslag van back-ups, toegang voor onderhoud of service, of een tijdelijke doorgifte.

  10. Wat als ik in de verwerkersovereenkomst doorgifte heb toegestaan?

    Als doorgifte door de (sub-) verwerker contractueel is toegestaan door de verantwoordelijke organisatie, maar er in het land van bestemming geen sprake is van beschermingsniveau dat gelijkwaardig is aan dat in de EU, dan is de enige optie om de doorgifte te staken. Met de (sub-) verwerker zal een amendement of een nieuwe overeenkomst gesloten moeten worden die hun bevoegdheid om data buiten de EU door te geven in te perken. De doorgifte is op dit moment weliswaar geen contractbreuk van de (sub-)verwerker, maar je bent dan als verantwoordelijke zelf wel in overtreding. Het is daarom van belang om dit zo snel mogelijk te beëindigen.

  11. Hoe zit het met dochter/zuster/ moederondernemingen buiten de EU?

    Er kan evengoed sprake zijn van doorgifte buiten de EU wanneer dit plaatsvindt binnen de eigen organisatie(structuur). Daarvoor geldt hetzelfde als wanneer de gegevens naar een andere organisatie gestuurd worden. De AVG biedt echter het middel van Binding Corporate Rules (BCR) als maatregel om doorgifte te waarborgen. De Schrems II-uitspraak lijkt ook BCR’s te bemoeilijken omdat de lokale context in de landen van bestemming geanalyseerd zal moeten worden.

  12. Is het voldoende als een Amerikaanse dienstverlener de data in de EU opslaat?

    De AVG-bepalingen over doorgifte buiten de EU zijn vanzelfsprekend enkel van toepassing wanneer er daadwerkelijk sprake is van doorgifte. Amerikaanse organisaties moeten naast de AVG ook voldoen aan Amerikaanse wetgeving. Zo is er sinds enkele jaren de CLOUD Act, die bepaalde Amerikaanse organisaties verplicht om gegevens die buiten de VS worden verwerkt te bewaren en verstrekken op verzoek van Amerikaanse veiligheidsdiensten. Deze verplichte achterdeur zorgt ervoor dat gegevensopslag door Amerikaanse aanbieders binnen Europa alsnog kan zorgen voor toegang door Amerikaanse veiligheidsdiensten. De Amerikaanse organisatie komt dan in een juridische spagaat: negeer het verzoek van de veiligheidsdienst, of overtreed artikel 48 AVG.
    Voor de verantwoordelijke organisatie lijkt het mogelijk om zelfs in dat geval nog AVG-compliant te blijven doordat je zelf geen data doorgeeft buiten de EU. De overtreding zou dan begaan worden door de Amerikaanse organisatie. Deze organisatie treedt dan op als verantwoordelijke. Formeel zou jouw organisatie dan geen persoonsgegevens doorgeven buiten de EU. Dat is uiteraard de juridische werkelijkheid, je kunt je afvragen of het niet raadzaam is om te kijken naar een Europees alternatief.

    Bovendien geldt dat opslag niet het enige criterium is voor doorgifte. Wanneer de gegevens opgeslagen zijn in de EU, maar er is toegang vanuit de VS, dan is er alsnog sprake van doorgifte buiten de EU. In de praktijk zal er vaak sprake zijn van toegang, bijvoorbeeld voor het verlenen van klantenservice of het onderhouden van de techniek.

  13. Kan mijn organisatie een boete krijgen als we op dezelfde manier verder werken?

    Ja dat kan. De uitspraak is direct van toepassing. Een overtreding kan door de Autoriteit Persoonsgegevens beboet worden met maximaal 20 miljoen Euro of 4% van de wereldwijde omzet. Uiteraard zal de AP bij het opleggen van een boete aan de hand van haar boetebeleidsregels moeten kijken wat de werkelijke boete wordt. Daarbij spelen onder andere de aard, de ernst en de duur van de inbreuk een rol. Ook opzet en nalatigheid, het aantal getroffen betrokkenen en de geleden schade worden meegenomen bij het bepalen van de boete. Het is daarom aan te raden om zo snel mogelijk maatregelen te nemen. Wanneer het niet mogelijk is om op korte termijn compliant te worden is het aanbevolen om daar transparant over te zijn richting de betrokkenen, en een planning te maken met de te nemen stappen. Zo kan, mocht dat nodig zijn, aan de toezichthouder aangetoond worden dat je organisatie ervan bewust is, en de vereiste maatregelen op de planning staan.

Onze privacyspecialisten

Onze privacyspecialisten