Nadat een aantal jaren geleden de zgn. Safe Harbor ongeldig was verklaard door het Europese Hof, is nu ook haar opvolger, Privacy Shield gesneuveld in een zaak die bekend staat als Schrems II. Dit heeft grote consequenties v.w.b. compliance met het AVG voor bedrijven die zaken doen met Amerikaanse dataverwerkers, zoals Google, Amazon, mailchimp e.v.a.
Achtergrond
Volgens Europees recht mag er alleen data worden uitgewisseld met partijen in landen die een adequate bescherming van persoonsgegevens waarborgen. De Verenigde Staten is altijd aangemerkt als een land waar die bescherming niet adequaat gewaarborgd is, daarom is er in het verleden een speciale regeling opgetuigd, met de naam ‘Safe Harbor’, om datauitwisseling toch mogelijk te maken. De Europese Commissie bepaalde in 2000 dat deze regeling voldoende waarborgen bood om gegevensuitwisseling tussen de EU en de VS mogelijk te maken. ‘Safe Harbor’ was echter nogal een wassen neus; in essentie was het een regeling waarbij Amerikaanse bedrijven zichzelf konden certificeren als ‘Safe Harbor’ door zich te registreren bij de Amerikaanse overheid (via de site export.gov). De bedrijven beloofden dan de Europese privacyregels te respecteren. Controle daarop vanuit de overheid was er echter niet, dus ieder bedrijf kon dat beloven en het vervolgens niet doen.
De Oostenrijkse advocaat Max Schrems, CEO van None Of Your Business, had een zaak aangespannen bij het Europese Hof van Justitie. De zaak betwistte de weigering van de Ierse DPA (“Data Protection Authority”, in Nederland is dit de Autoriteit Persoonsgegevens) om een klacht van Max Schrems te onderzoeken waarin de DPA werd gevraagd om gegevensoverdrachten van Facebook Ierland naar Facebook Inc. op te schorten vanwege de bezorgdheid van de heer Schrems dat de onthullingen van Edward Snowden suggereerden dat zijn persoonlijke gegevens toegankelijk waren voor Amerikaanse inlichtingendiensten, en dat zijn EU-gegevensbeschermingsrechten zouden worden geschonden. Op dat moment vertrouwde Facebook op het Safe Harbor Framework van de VS en de EU als rechtsgrondslag voor de overdracht van persoonsgegevens onder de EU-richtlijn voor gegevensbescherming. Het Ierse Hoog Gerechtshof verwees de zaak naar het Europese Hof van Justitie. In 2015 oordeelde dit hof dat de adequaatheidsbepaling van de Europese Commissie voor het Safe Harbor Framework van de VS en de EU ongeldig was, wat leidde tot de optuiging van het zgn. EU-VS Privacyschild.
Parallel hieraan In een apart geval, vaak aangeduid als ‘Schrems II’ (zie ‘Schrems II’), heeft het Europese Hof van Justitie de adequaatheidsbepaling van de Europese Commissie voor het Privacy Shield ongeldig gemaakt nadat Schrems zijn klacht van Facebook Ierland bij de Ierse commissaris voor gegevensbescherming had gewijzigd. Ook deze zaak is door de Ierse autoriteiten doorverwezen naar het Europese Hof van Justitie, dat op 16 Juli uitspraak heeft gedaan. Deze uitspraak heeft verregaande consequenties voor alle organisaties die persoonsgegevens uitwisselen met organisaties in de Verenigde Staten.
Uitspraak
Het Europese Hof van Justitie oordeelde dat de adequaatheidsbepaling van de Europese Commissie voor Privacy Shield om twee belangrijke redenen ongeldig is. Ten eerste oordeelde de rechtbank dat Amerikaanse surveillanceprogramma’s, die de commissie heeft beoordeeld in haar Privacy Shield-besluit, niet beperkt zijn tot wat strikt noodzakelijk en proportioneel is zoals vereist door het Europees recht en dus niet voldoet aan de vereisten van artikel 52 van het EU Handvest inzake Fundamentele rechten. Ten tweede heeft de rechtbank bepaald dat, met betrekking tot het toezicht in de VS, EU-betrokkenen geen rechtsmiddel hebben waarmee juridische genoegdoening kan worden bewerkstelligt en daarom geen recht hebben op een effectief rechtsmiddel in de VS, zoals vereist door artikel 47 van het EU Handvest.
Het Hof bevestigde opnieuw de geldigheid van de modelcontracten (SCC’s, de zgn. Standard Contractual Clauses), maar stelde dat bedrijven per geval moeten verifiëren of de wet in het ontvangende land voldoende bescherming biedt, onder EU-recht, voor persoonsgegevens die worden overgedragen onder SCC’s en, waar dit niet het geval is, dat bedrijven aanvullende waarborgen moeten bieden of overdrachten moeten opschorten. De uitspraak legde dezelfde eis op aan de gegevensbeschermingsautoriteiten van de EU om dergelijke doorgiften van geval tot geval op te schorten wanneer gelijkwaardige bescherming niet kan worden gegarandeerd.
Het Hof beoordeelde zelf de toereikendheid van beschermingen met betrekking tot de toegang van de Amerikaanse overheid tot gegevens en vond deze onvoldoende. De vraag waarmee regelgevers en bedrijven nu worden geconfronteerd, is of de zorgen die door het Hof zijn geuit van toepassing zijn in de context van bepaalde overdrachten en kunnen worden verholpen door middel van aanvullende bescherming – niet alleen in de VS, maar ook in alle andere landen zonder een adequaatheidsbepaling. Privacyprofessionals moeten overwegen of relevante surveillanceprogramma’s en autoriteiten in bepaalde contexten van toepassing zijn. Als ze dat doen, kunnen ze beoordelen of die autoriteiten in de gegeven context evenredige beperkingen opnemen, en of er effectieve rechtsmiddelen bestaan. Als alternatief zouden ze manieren kunnen overwegen om de context zelf te beperken door middel van aanvullende waarborgen. Versleuteling van persoonsgegevens en pseudonimisering kunnen bijvoorbeeld een overweging zijn.
Hoe nu verder?
Organisaties moeten nu hun trans-Atlantische en wereldwijde gegevensoverdrachten beoordelen in het licht van de uitspraak van het Hof. Dat is geen geringe taak.
Bedrijven die op het Privacy Shield vertrouwden, zullen op zoek moeten naar een alternatieve rechtsgrondslag om doorgifte op grond van de AVG mogelijk te maken. Daarbij moeten zij in ogenschouw nemen dat bestaande toezeggingen aan het privacyschild afdwingbaar blijven door de Amerikaanse Federal Trade Commission.
In termen van nieuwe rechtsgrondslagen voor doorgiften kunnen ze verschillende opties overwegen, uiteengezet in de algemene verordening gegevensbescherming van de EU. Deze omvatten SCC’s, onderhevig aan alle bovenstaande discussies, bindende bedrijfsregels, die per bedrijf moeten worden goedgekeurd door DPA’s en, hoewel ze buiten de beslissing worden gelaten, die vermoedelijk zijn onderworpen aan vergelijkbare beperkingen.
Organisaties kunnen ook de weg bewandelen van het expliciet om toestemming van de betrokkene te vragen of gebruik te maken van de andere derogaties zoals uiteengezet in artikel 49 van de AVG. Bij het overwegen van dergelijke opties dienen privacyteams zorgvuldig kennis te nemen van de EDPB-richtlijnen over de beperktere gevallen waarin het gebruik ervan gepast is. Bedrijven die afhankelijk zijn van SCC’s, moeten hun overdrachten per geval beoordelen om te bepalen of de beschermingen in de VS of een ander land zonder een adequaatheidsbepaling voldoen aan de EU-normen in de context van de specifieke overdracht.
Praktische tips
Hoe e.e.a. in de praktijk ingevuld kan worden zal hopelijk snel duidelijker worden als betrokken partijen zoals de EDPB en de DPA’s nadere uitwerkingen van de uitspraak van het Hof zullen publiceren, hopelijk in de vorm van praktische handreikingen waar bedrijven wat aan hebben.
Voor kleine Nederlandse bedrijven een paar tips alvast om aan het AVG te kunnen blijven voldoen:
- Elimineer of minimaliseer de uitwisseling met de VS door op zoek te gaan naar Europese alternatieven. Dit is in veel gevallen mogelijk. Denk aan diensten voor het beheer van mailings, of website analytics. Er bestaan voldoende alternatieven voor bv. mailchimp of Google analytics.
- Lukt volledige eliminatie niet, maak dan gebruik van de modelcontracten, en doe tevens een grondige risk assessment omtrent de gegevensuitwisseling, waarbij de bovenstaande overwegingen van het Europese Hof in ogenschouw worden genomen. Dit vergt dus een gedetailleerde analyse van wetten van het land waar de entiteit waarmee gegevens worden uitgewisseld is gevestigd. Leg de aanvullende beschermingen vast, ook contractueel. (Let wel op. Een aanpassing aan een modelcontract vereist voorafgaande goedkeuring van de relevante DPA).
Voor grote bedrijven zijn bindende bedrijfsregels, voorgelegd en goedgekeurd door de nationale DPA, de meest veilige weg op dit moment. Voor kleine ondernemingen is dit echter niet praktisch haalbaar.