Data delen buiten de EU

Ja, het Europees Hof van Justitie is de hoogste rechter van Europa. De uitspraak heeft direct effect in de hele Europese Unie en er is geen mogelijkheid om in beroep te gaan. In theorie zou het Hof zich in een latere zaak kunnen bedenken, maar deze uitspraak past volledig in de lijn die het Hof met de Schrems I-uitspraak heeft ingezet.

De zorgen omtrent het delen van data met de Verenigde Staten dateren uit de periode waarin Edward Snowden onthullingen deed over het spionageprogramma van de inlichtingendiensten in de VS. De vergaande bevoegdheden van diensten t.a.v. buitenlanders vormen een belangrijk punt van zorg wanneer gegevens van Europeanen in de VS worden opgeslagen. Het Privacy Shield is het resultaat van afspraken tussen de Europese Commissie en de Amerikaanse regering, waarbij gecertificeerde Amerikaanse organisaties als ‘veilig’ beschouwd mogen worden. Er geldt dan formeel een beschermingsniveau dat in essentie gelijkwaardig is aan dat in de EU. Volgens het Hof kwam dat niet (meer) overeen met de realiteit. De bevoegdheden van inlichtingendiensten vormen een beperking op het recht op gegevensbescherming van Europese burgers. Bovendien kunnen Europese burgers in de VS onvoldoende hun rechten uitoefenen. Dit was voor het Hof voldoende aanleiding om het besluit dat aan het Privacy Shield ten grondslag ligt onrechtmatig te verklaren. Net zoals het dat in 2015 deed met voorloper Safe Harbor. 

Het Europees Hof liet zich naast het ongeldig verklaren van het Privacy Shield ook uit over de modelcontracten van de Europese Commissie. Deze contracten zijn een middel om burgers in Europa een niveau van bescherming te bieden voor hun gegevens dat onafhankelijk is van waar hun gegevens zich in de wereld bevinden. In de AVG is bepaald dat de exporteur moet zorgen voor: 

1. passende waarborgen 
2. afdwingbare rechten 
3. doeltreffende rechtsmiddelen 

Het Hof wijst er in haar uitspraak nadrukkelijk op dat het aan de exporteur is om na te gaan of dat waargemaakt kan worden in het land van bestemming. Dit onderzoek wordt ook wel een Data Transfer Impact Assessment (DTIA) genoemd. Voor leden van DDMA hebben we de Template Data Transfer Impact assessment ontwikkeld dat je kan helpen bij het uitvoeren van een dergelijk onderzoek.

Het afsluiten van SCC’s als maatregel om data te kunnen doorgeven aan een ontvanger in een niet-EU-land is op zichzelf dus niet onrechtmatig. De verantwoordelijke moet kunnen beargumenteren dat het voor de ontvanger van de data in het land van bestemming mogelijk is om de afspraken uit de SCC’s na te komen. Wie dat niet kan onderbouwen, kan daarvoor beboet worden door de toezichthouder. 

Het tekenen van SCC’s met organisaties in de VS lijkt daarom op dit moment niet meer mogelijk. Als exporteur weet je door de Schrems II-uitspraak namelijk dat er door organisaties die vallen onder de Amerikaanse inlichtingenwetgeving geen passend beschermingsniveau gerealiseerd kan worden. Ook de Amerikaanse partij kan deze overeenkomst niet tekenen, omdat ze weten dat ze de verplichtingen die erin staan niet kunnen nakomen.

Officieel is er door de rechter in Schrems II geen besluit genomen dat deze overeenkomsten ongeldig zijn. Het is door het Hof echter wel duidelijk gemaakt dat er een onderzoeksplicht bij hoort. Wanneer je afspraken hebt gemaakt met ontvangers die in hun lokale rechtssysteem niet in staat zijn om een passend beschermingsniveau te bieden, zit je met dilemma. Formeel gezien zou je nog kunnen stellen dat je aan de AVG-verplichting hebt voldaan, tot je van de ontvanger te horen krijgt dat ze hun verplichtingen niet kunnen nakomen. In de praktijk lijkt dit een onhoudbare situatie. Als het land van bestemming niet voldoende waarborgen biedt, kan er geen sprake zijn van doorgifte van gegevens, tenzij je op een of andere manier extra waarborgen weet te treffen. Bijvoorbeeld door de gegevens volledig versleuteld op te slaan, waardoor veiligheidsdiensten niets met de data kunnen doen. Voor de Verenigde Staten lijken deze extra waarborgen (wat deze ook mogen zijn) onmisbaar, het Hof kwam immers in haar besluit over het Privacy Shield zelf tot de conclusie dat het rechtssysteem in de VS onvoldoende waarborgen biedt. 

Let op: op 4 juni 2021 zijn er door de Europese Commissie nieuwe SCC’s gepubliceerd. De oude SCC’s stammen alweer vanuit de periode voor de AVG en waren toe aan een update. Je hebt als organisatie 18 maanden de tijd om over te stappen naar de nieuwe SCC’s. Daarnaast hebben de SCC’s dus een update gekregen naar de normen van de AVG. Denk daarbij aan documentatieverplichtingen, aangescherpte bepalingen over de rechten van betrokkenen en de rol van de toezichthouders. Lees er in dit artikel meer over. 

Door het uittreden van het Verenigd Koninkrijk (VK) is het land daarmee vanzelfsprekend een niet-EU-land geworden. Doorgifte van persoonsgegevens naar het VK zal volgens hetzelfde mechanisme moeten gewaarborgd worden als andere landen buiten de EU. Inmiddels is er een adequaatheidsbesluit aangenomen door de Europese Commissie. Dit betekent dat het Britse gegevensbeschermingsregime ook ná de Brexit voldoende wordt geacht om EU-persoonsgegevens te beschermen. Je hebt dan geen aanvullende waarborgen nodig om data door te geven, zoals Standard Contractual Clauses of Binding Corporate Rules. En dat scheelt heel wat papierwerk.

Wanneer uit je analyse van de omstandigheden van de doorgifte van de gegevens en eventuele aanvullende maatregelen blijkt dat er geen passende waarborgen zijn, dan moet je de doorgifte van persoonsgegevens naar dat land opschorten. Is dat niet mogelijk en moet de doorgifte plaatsvinden? Dan ben je volgens de SCC’s verplicht om dat te melden aan de bevoegde toezichthouder (in Nederland de Autoriteit Persoonsgegevens). De toezichthouder heeft vervolgens de mogelijkheid om een controle te verrichten bij het ontvangen van de gegevens. 

Het Hof legt in de Schrems II uitspraak uit dat exporterende organisaties er met aanvullende maatregelen voor kunnen zorgen dat de gegevens in landen buiten de EU alsnog voldoende beschermd zijn. Dit zou zelfs het geval kunnen zijn bij organisaties die vallen onder de Amerikaanse inlichtingenwetgeving. Het Hof specificeert niet om welke maatregelen het gaat, maar te denken valt dat encryptie hier een uitkomst kan bieden. Wanneer de gegevens zowel versleuteld worden verzonden als opgeslagen, zonder dat de Amerikaanse organisatie over de sleutel beschikt, zou het risico van toegang door een inlichtingendienst ingeperkt kunnen worden. 

In ons Template Data Transfer Impact Assessment vind je meer informatie over mogelijke aanvullende maatregelen die je zou kunnen treffen.

De AVG biedt de mogelijkheid om toestemming te hanteren als middel om de doorgifte rechtmatig te maken. Dit maakt het mogelijk om als betrokkene voor je eigen persoonsgegevens te beslissen dat de gegevens doorgegeven mogen worden buiten de EU. Maar bij deze vorm van toestemming komen wel wat beperkingen. Allereerst moet de toestemming expliciet zijn én moeten de gevolgen van de doorgifte duidelijk worden toegelicht aan de betrokkenen. Ook mag de doorgifte niet structureel zijn: wanneer je met een marketingtool regelmatig gegevens doorgeeft buiten de EU, kan dit niet gebaseerd zijn op toestemming.

Dat moet beschreven staan in de verwerkersovereenkomst. Daarin hoort te staan of doorgifte toegestaan is. Dat geldt ook voor sub-verwerkers. (Sub-)verwerkers mogen niet zelfstandig beslissen om persoonsgegevens buiten de EU te delen. Daarbij maakt het niet uit of het gaat om de opslag van back-ups, toegang voor onderhoud of service, of een tijdelijke doorgifte. 

Als doorgifte door de (sub-) verwerker contractueel is toegestaan door de verantwoordelijke organisatie, maar er in het land van bestemming geen sprake is van beschermingsniveau dat gelijkwaardig is aan dat in de EU, dan is de enige optie om de doorgifte te staken. Met de (sub-) verwerker zal een amendement of een nieuwe overeenkomst gesloten moeten worden die hun bevoegdheid om data buiten de EU door te geven in te perken. De doorgifte is op dit moment weliswaar geen contractbreuk van de (sub-)verwerker, maar je bent dan als verantwoordelijke zelf wel in overtreding. Het is daarom van belang om dit zo snel mogelijk te beëindigen. 

Vervolgens is het verstandig om te kijken naar de mogelijkheden die er zijn om een gelijkwaardig beschermingsniveau te creëren. Dit kan bijvoorbeeld door het instellen van passende waarborgen bij de doorgifte van de persoonsgegevens.

Er kan evengoed sprake zijn van doorgifte buiten de EU wanneer dit plaatsvindt binnen de eigen organisatie(structuur). Daarvoor geldt hetzelfde als wanneer de gegevens naar een andere organisatie gestuurd worden. De AVG biedt echter het middel van Binding Corporate Rules (BCR) als maatregel om doorgifte te waarborgen. De Schrems II-uitspraak lijkt ook BCR’s te bemoeilijken omdat de lokale context in de landen van bestemming geanalyseerd zal moeten worden. 

De AVG-bepalingen over doorgifte buiten de EU zijn vanzelfsprekend enkel van toepassing wanneer er daadwerkelijk sprake is van doorgifte. Amerikaanse organisaties moeten naast de AVG ook voldoen aan Amerikaanse wetgeving. Zo is er sinds enkele jaren de CLOUD Act, die bepaalde Amerikaanse organisaties verplicht om gegevens die buiten de VS worden verwerkt te bewaren en verstrekken op verzoek van Amerikaanse veiligheidsdiensten. Deze verplichte achterdeur zorgt ervoor dat gegevensopslag door Amerikaanse aanbieders binnen Europa alsnog kan zorgen voor toegang door Amerikaanse veiligheidsdiensten. De Amerikaanse organisatie komt dan in een juridische spagaat: negeer het verzoek van de veiligheidsdienst, of overtreed artikel 48 AVG. 

Voor de verantwoordelijke organisatie lijkt het mogelijk om zelfs in dat geval nog AVG-compliant te blijven doordat je zelf geen data doorgeeft buiten de EU. De overtreding zou dan begaan worden door de Amerikaanse organisatie. Deze organisatie treedt dan op als verantwoordelijke. Formeel zou jouw organisatie dan geen persoonsgegevens doorgeven buiten de EU. Dat is uiteraard de juridische werkelijkheid, je kunt je afvragen of het niet raadzaam is om te kijken naar een Europees alternatief. 

Bovendien geldt dat opslag niet het enige criterium is voor doorgifte. Wanneer de gegevens opgeslagen zijn in de EU, maar er is toegang vanuit de VS, dan is er alsnog sprake van doorgifte buiten de EU. In de praktijk zal er vaak sprake zijn van toegang, bijvoorbeeld voor het verlenen van klantenservice of het onderhouden van de techniek. 

Ja dat kan. Een overtreding kan door de Autoriteit Persoonsgegevens beboet worden met maximaal 20 miljoen Euro of 4% van de wereldwijde omzet. Uiteraard zal de AP bij het opleggen van een boete aan de hand van haar boetebeleidsregels moeten kijken wat de werkelijke boete wordt. Daarbij spelen onder andere de aard, de ernst en de duur van de inbreuk een rol. Ook opzet en nalatigheid, het aantal getroffen betrokkenen en de geleden schade worden meegenomen bij het bepalen van de boete. Het is daarom aan te raden om zo snel mogelijk maatregelen te nemen. Wanneer het niet mogelijk is om op korte termijn compliant te worden is het aanbevolen om daar transparant over te zijn richting de betrokkenen, en een planning te maken met de te nemen stappen. Zo kan, mocht dat nodig zijn, aan de toezichthouder aangetoond worden dat je organisatie ervan bewust is en de vereiste maatregelen op de planning staan.