Data delen buiten de EU

Ja, de EU en de VS hebben in 2023 het Data Privacy Framework (DPF) aangenomen. Het DPF is de opvolger van het Privacy Shield dat in 2020 ongeldig werd verklaard. Door dit nieuwe adequaatheidsbesluit kunnen bedrijven in de EU weer eenvoudig persoonsgegevens opslaan of anderszins doorgeven aan bedrijven in de VS.

De AVG vereist van dat Europese organisaties voor doorgifte gebruikmaken van één van de mogelijke doorgifte mechanismen. Dit zijn:

1. adequaatheidsbesluit
2. aanvullende waarborgen, waaronder SCC’s
3. afwijkingen voor uitzonderingssituaties

Voor de VS geldt op dit moment een adequaatheidsbesluit: het DPF. Het DPF is een mechanisme waarmee Amerikaanse bedrijven zich kunnen certificeren. De lijst met gecertificeerde bedrijven is op deze pagina te vinden. Voordat je zaken doet met een partij zul je dus moeten controleren of de Amerikaanse organisatie op de DPF-lijst staat.

De Autoriteit Persoonsgegevens merkt op dat het ook van belang is om te controleren of het gebruikte (marketing)product onder de reikwijdte van DPF-registratie valt. De ‘importerende partij’ partij kan namelijk ook nog steeds gebruik maken van de SCC’s of een ander doorgifte-instrument

Het grote voordeel van het DPF is dat men niet per se gebruik hoeft te maken van de modelcontracten (SCC’s) voor doorgifte naar de VS. Dit kan op grond van het nieuwe DPF en daarmee lijkt ook het licht voor Google Analytics vanaf nu op groen te staan.

Ook lijkt er een einde te komen aan wat velen beschouwden als het ‘lawyers paradise’, vanwege de verplichte Data Transfer Impact Asssesments. Voorwaarde voor dit alles is wel dat de partijen aan wie persoonsgegevens worden doorgegeven, zijn aangesloten bij het framework en de daarbij behorende regels (zoals het verwijderen van niet noodzakelijke persoonsgegevens). Als dat niet het geval is, moet je alsnog een ander mechanisme voor doorgifte gebruiken.

Daarnaast heeft het adequaatheidsbesluit mogelijk ook een effect op de ‘lopende’ klachten en besluiten over het gebruik van Google Analytics. Ondanks dat de toezichthouders daar oordelen over de doorgifte van persoonsgegevens in de ‘oude situatie’ (door middel van de oude SCC’s), zou het kunnen dat ze daar minder streng naar kijken. Bovendien hebben de wijzigingen in de VS mogelijk ook een positief effect op het oordeel van toezichthouders op het gebruik van SCC’s in de huidige situatie.

Tot slot blijft het wel de vraag hoelang dit nieuwe framework overeind blijft. Privacy-voorvechter Max Schrems heeft al aangekondigd ook dit doorgifte-mechanisme niet als voldoende te beschouwen. Als je daarbij meeneemt dat eerder het Europees Parlement en ook de EDPB al kritisch waren, lijkt er een aanzienlijke kans dat het Europese hof ook het DPF in de toekomst vernietigt. Wel is het zo dat een gerechtelijke procedure veel tijd in beslag neemt, waardoor we ervan uit kunnen gaan dat dit besluit minimaal 1,5 jaar standhoudt.

We hebben een aparte themapagina over Google Analytics, waarin we ook alle vragen rondom doorgifte beantwoorden.

Door het uittreden van het Verenigd Koninkrijk (VK) is het land daarmee vanzelfsprekend een niet-EU-land geworden. Doorgifte van persoonsgegevens naar het VK zal volgens hetzelfde mechanisme moeten gewaarborgd worden als andere landen buiten de EU. Inmiddels is er een adequaatheidsbesluit aangenomen door de Europese Commissie. Dit betekent dat het Britse gegevensbeschermingsregime ook ná de Brexit voldoende wordt geacht om EU-persoonsgegevens te beschermen. Je hebt dan geen aanvullende waarborgen nodig om data door te geven, zoals Standard Contractual Clauses of Binding Corporate Rules. En dat scheelt heel wat papierwerk.

Ja dat kan. Een overtreding kan door de Autoriteit Persoonsgegevens beboet worden met maximaal 20 miljoen Euro of 4% van de wereldwijde omzet. Uiteraard zal de AP bij het opleggen van een boete aan de hand van haar boetebeleidsregels moeten kijken wat de werkelijke boete wordt. Daarbij spelen onder andere de aard, de ernst en de duur van de inbreuk een rol. Ook opzet en nalatigheid, het aantal getroffen betrokkenen en de geleden schade worden meegenomen bij het bepalen van de boete. Het is daarom aan te raden om zo snel mogelijk maatregelen te nemen. Wanneer het niet mogelijk is om op korte termijn compliant te worden is het aanbevolen om daar transparant over te zijn richting de betrokkenen, en een planning te maken met de te nemen stappen. Zo kan, mocht dat nodig zijn, aan de toezichthouder aangetoond worden dat je organisatie ervan bewust is en de vereiste maatregelen op de planning staan. 

SCC’s of ook wel modelcontracten is een door de Europese Commissie goedgekeurd ‘standaard contract’ waarmee persoonsgegevens op een veilige manier kunnen worden doorgegeven aan een land buiten de EU. In de AVG is bepaald dat de exporteur van de data moet nagaan of met de doorgifte naar het andere land sprake is:

1. passende waarborgen 
2. afdwingbare rechten voor betrokkene over wie de gegevens gaan
3. doeltreffende rechtsmiddelen 

De Europese rechter heeft bepaalt dat het aan de exporteur is om na te gaan of dat waargemaakt kan worden in het land van bestemming. Dit onderzoek wordt ook wel een Data Transfer Impact Assessment (DTIA) genoemd. Voor leden van DDMA hebben we de Template Data Transfer Impact assessment ontwikkeld dat je kan helpen bij het uitvoeren van een dergelijk onderzoek.

Het afsluiten van SCC’s als maatregel om data te kunnen doorgeven aan een ontvanger in een niet-EU-land is op zichzelf dus niet onrechtmatig. De verantwoordelijke moet kunnen beargumenteren dat het voor de ontvanger van de data in het land van bestemming mogelijk is om de afspraken uit de SCC’s na te komen. Wie dat niet kan onderbouwen, kan daarvoor beboet worden door de toezichthouder. 

Op 4 juni 2021 zijn er door de Europese Commissie nieuwe SCC’s gepubliceerd. De oude SCC’s stammen alweer vanuit de periode voor de AVG en waren toe aan een update. Je hebt als organisatie 18 maanden de tijd om over te stappen naar de nieuwe SCC’s. Daarnaast hebben de SCC’s dus een update gekregen naar de normen van de AVG. Denk daarbij aan documentatieverplichtingen, aangescherpte bepalingen over de rechten van betrokkenen en de rol van de toezichthouders. Lees er in dit artikel meer over. 

Het Hof legt in de Schrems II uitspraak uit dat exporterende organisaties er met aanvullende maatregelen voor kunnen zorgen dat de gegevens in landen buiten de EU alsnog voldoende beschermd zijn. Dit zou zelfs het geval kunnen zijn bij organisaties die vallen onder de Amerikaanse inlichtingenwetgeving. Het Hof specificeert niet om welke maatregelen het gaat, maar te denken valt dat encryptie hier een uitkomst kan bieden. Wanneer de gegevens zowel versleuteld worden verzonden als opgeslagen, zonder dat de Amerikaanse organisatie over de sleutel beschikt, zou het risico van toegang door een inlichtingendienst ingeperkt kunnen worden. 

In ons Template Data Transfer Impact Assessment vind je meer informatie over mogelijke aanvullende maatregelen die je zou kunnen treffen.

Wanneer uit je analyse van de omstandigheden van de doorgifte van de gegevens en eventuele aanvullende maatregelen blijkt dat er geen passende waarborgen zijn, dan moet je de doorgifte van persoonsgegevens naar dat land opschorten. Is dat niet mogelijk en moet de doorgifte plaatsvinden? Dan ben je volgens de SCC’s verplicht om dat te melden aan de bevoegde toezichthouder (in Nederland de Autoriteit Persoonsgegevens). De toezichthouder heeft vervolgens de mogelijkheid om een controle te verrichten bij het ontvangen van de gegevens. 

Er zijn in het verleden boetes opgelegd voor de datadoorgifte bij het gebruik van Google Analytics. In die zaken bleek de encryptie van Google niet voldoende. De implementatie van encryptie door Google is een onvoldoende gebleken, aangezien Google zelf de gegevens versleutelt en verplicht is om toegang te verlenen aan de Amerikaanse autoriteiten wanneer zij daarom vragen.

Om encryptie als een voldoende aanvullende waarborg te beschouwen, moeten de ‘sleutels’ onder de exclusieve controle worden gehouden in de EU (of een ander gebied dat een passend beschermingsniveau biedt) – zie aanbevelingen 01/ 2020 van de EDPB, §84.

De AVG biedt de mogelijkheid om toestemming te hanteren als middel om de doorgifte rechtmatig te maken. Dit maakt het mogelijk om als betrokkene voor je eigen persoonsgegevens te beslissen dat de gegevens doorgegeven mogen worden buiten de EU. Maar bij deze vorm van toestemming komen wel wat beperkingen. Allereerst moet de toestemming expliciet zijn én moeten de gevolgen van de doorgifte duidelijk worden toegelicht aan de betrokkenen. Ook mag de doorgifte niet structureel zijn: wanneer je met een marketingtool regelmatig gegevens doorgeeft buiten de EU, kan dit niet gebaseerd zijn op toestemming.

Dat moet beschreven staan in de verwerkersovereenkomst. Daarin hoort te staan of doorgifte toegestaan is. Dat geldt ook voor sub-verwerkers. (Sub-)verwerkers mogen niet zelfstandig beslissen om persoonsgegevens buiten de EU te delen. Daarbij maakt het niet uit of het gaat om de opslag van back-ups, toegang voor onderhoud of service, of een tijdelijke doorgifte. 

Als doorgifte door de (sub-) verwerker contractueel is toegestaan door de verantwoordelijke organisatie, maar er in het land van bestemming geen sprake is van beschermingsniveau dat gelijkwaardig is aan dat in de EU, dan is de enige optie om de doorgifte te staken. Met de (sub-) verwerker zal een amendement of een nieuwe overeenkomst gesloten moeten worden die hun bevoegdheid om data buiten de EU door te geven in te perken. De doorgifte is op dit moment weliswaar geen contractbreuk van de (sub-)verwerker, maar je bent dan als verantwoordelijke zelf wel in overtreding. Het is daarom van belang om dit zo snel mogelijk te beëindigen. 

Vervolgens is het verstandig om te kijken naar de mogelijkheden die er zijn om een gelijkwaardig beschermingsniveau te creëren. Dit kan bijvoorbeeld door het instellen van passende waarborgen bij de doorgifte van de persoonsgegevens.

Er kan evengoed sprake zijn van doorgifte buiten de EU wanneer dit plaatsvindt binnen de eigen organisatie(structuur). Daarvoor geldt hetzelfde als wanneer de gegevens naar een andere organisatie gestuurd worden. De AVG biedt echter het middel van Binding Corporate Rules (BCR) als maatregel om doorgifte te waarborgen. Het is dan net als bij de SCC’s relevant om te toetsen er sprake is van passend beschermingsniveau bij doorgifte naar dat andere land buiten de EU.

Ja, het Europees Hof van Justitie is de hoogste rechter van Europa. De uitspraak heeft direct effect in de hele Europese Unie en er is geen mogelijkheid om in beroep te gaan. In theorie zou het Hof zich in een latere zaak kunnen bedenken, maar deze uitspraak past volledig in de lijn die het Hof met de Schrems I-uitspraak heeft ingezet.

De zorgen omtrent het delen van data met de Verenigde Staten dateren uit de periode waarin Edward Snowden onthullingen deed over het spionageprogramma van de inlichtingendiensten in de VS. De vergaande bevoegdheden van diensten t.a.v. buitenlanders vormen een belangrijk punt van zorg wanneer gegevens van Europeanen in de VS worden opgeslagen. Het Privacy Shield is het resultaat van afspraken tussen de Europese Commissie en de Amerikaanse regering, waarbij gecertificeerde Amerikaanse organisaties als ‘veilig’ beschouwd mogen worden. Er geldt dan formeel een beschermingsniveau dat in essentie gelijkwaardig is aan dat in de EU. Volgens het Hof kwam dat niet (meer) overeen met de realiteit. De bevoegdheden van inlichtingendiensten vormen een beperking op het recht op gegevensbescherming van Europese burgers. Bovendien kunnen Europese burgers in de VS onvoldoende hun rechten uitoefenen. Dit was voor het Hof voldoende aanleiding om het besluit dat aan het Privacy Shield ten grondslag ligt onrechtmatig te verklaren. Net zoals het dat in 2015 deed met voorloper Safe Harbor.