Enige tijd geleden schreven wij over de Schrems II zaak waarin het Privacy Shield ongeldig werd verklaard door het Europese Hof van Justitie. Volgens de hoogste Europese rechter voldeed de Privacy Shield niet aan de Europese maatstaven op het gebied van gegevensbescherming. Het Privacy Shield bevatte afspraken op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS. Door de Schrems II uitspraak was dit ineens niet meer mogelijk, terwijl veel bedrijven hun data opslaan in de VS. Veel bedrijven maken namelijk gebruik van Amerikaanse diensten of applicaties. Denk aan bijvoorbeeld cloud-dienstverleners of partijen die zich bezighouden met cookies. De uitspraak heeft daarom nogal wat stof doen opwaaien en zorgt voor veel vragen onder bedrijven die persoonsgegevens doorgeven naar de VS.
Inmiddels heeft de European Data Protection Board (EDPB), een onafhankelijk Europees orgaan dat toeziet op de juiste toepassing van de AVG binnen de EU, voor enige duidelijkheid gezorgd. De EDPB heeft namelijk aanbevelingen gepubliceerd voor de doorgifte van persoonsgegevens naar derde landen, waaronder de VS. Derde landen zijn in dit geval landen waar persoonsgegevens minder goed beschermd zijn dan in de Europese Unie. Deze aanbevelingen kunnen een oplossing bieden voor de belangrijkste problemen waar bedrijven sinds de Schrems II uitspraak mee kampen.
Bovendien heeft de Europese Commissie recent een conceptversie gepubliceerd voor de modelcontracten op basis waarvan tóch data naar derde landen verstuurd mag worden. Beide publicaties, van zowel de EDPB als de Europese Commissie, zullen in dit artikel besproken worden.
Aanbevelingen EDPB
De EDPB heeft aanbevelingen opgesteld om bedrijven enige duidelijkheid te bieden over doorgifte naar derde landen. Uit de Schrems II uitspraak blijkt dat organisaties, zowel verwerkingsverantwoordelijken als verwerkers, verplicht zijn om te controleren of in het land van ontvangst een passend beschermingsniveau wordt gewaarborgd. Indien dit niet het geval is en doorgifte toch plaatsvindt, dient men aanvullende maatregelen te nemen om de bescherming van persoonsgegevens te garanderen. In de aanbevelingen van de EDPB zijn dergelijke aanvullende maatregelen in een niet-uitputtende lijst opgenomen. Voorbeelden van aanvullende maatregelen zijn pseudonimisering en encryptie van data.
Uit de aanbevelingen blijkt verder dat het van belang is dat organisaties zicht hebben op waar de persoonsgegevens naar toe gaan. Organisaties dienen een overzicht te hebben aan welke partijen in welke landen persoonsgegeven worden doorgegeven en op basis waarvan dit gebeurt. Er moet worden gecontroleerd of er bijvoorbeeld sprake is van een adequaatheidsbesluit of een afgesloten modelcontract. Daarbij is het tevens belangrijk om te controleren of doorgifte naar derde landen wel echt noodzakelijk is. Ook dienen organisaties de lokale wetgeving te controleren indien een partij waaraan persoonsgegevens worden doorgegeven zich in een derde land bevindt. Er zal een beoordeling gemaakt moeten worden van de wettelijke bescherming van persoonsgegevens in het land van bestemming.
Het zal hoe dan ook niet altijd mogelijk zijn om aanvullende maatregelen te treffen. Sommige landen beschermen de privacy van hun burgers en andere grondrechten onvoldoende. Indien een organisatie twijfel heeft over de veiligheid van doorgifte van persoonsgegevens naar een derde land, is het belangrijk dat gestopt wordt met deze doorgifte. Het is in dat geval verstandig om de data in de EU te houden.
Onderstaande infographic van de EDPB kan u helpen met het maken van de keuze om wel of niet data door te geven buiten de EER:
Modelcontracten
Zoals in het vorige artikel over dit onderwerp is uitgelegd, is het alleen mogelijk om persoonsgegevens door te geven naar derde landen indien in het desbetreffende land sprake is van een passend beschermingsniveau. Als dit passende beschermingsniveau niet wordt gewaarborgd in het land van bestemming, is het in beginsel verboden om persoonsgegevens door te geven. Op deze hoofdregel bestaat een belangrijke uitzondering. Doorgifte naar een derde land zonder passend beschermingsniveau is namelijk toch mogelijk wanneer er passende waarborgen worden getroffen. Een middel om deze passende waarborgen te treffen zijn de zogenaamde Standard Contractual Clauses (SCC’s), in het Nederlands modelcontracten (of standaardbepalingen) genoemd.
De modelcontracten, zoals deze voorheen gebruikt werden, voldeden echter door de Schrems II uitspraak niet langer. Op 12 november 2020 heeft de Europese Commissie daarom een conceptversie voor nieuwe modelcontracten gepubliceerd. Deze voldoen aan de nieuwe eisen, die voortvloeien uit de Schrems II uitspraak. Onderstaand worden de belangrijkste wijzigingen, ten opzichte van de vorige modelcontracten, besproken.
Concept modelcontract
Een groot deel van de bepalingen uit de huidige modelcontracten zijn terug te vinden in het nieuwe concept. Er wordt echter ook een aantal veranderingen doorgevoerd. Eén van de belangrijkste veranderingen ziet op de doorgifte door verwerkers uit de EER naar verwerkers of (sub)verwerkers buiten de EER. Persoonsgegevens worden vandaag de dag niet alleen meer door een verwerkingsverantwoordelijke doorgegeven aan een verwerker, maar ook verwerkers maken tegenwoordig zelf gebruik van allerlei (sub)verwerkers. Het concept bevat daarom nieuwe bepalingen voor doorgifte tussen twee verwerkers of doorgifte van een verwerker naar een verwerkingsverantwoordelijke. Hierdoor kunnen de nieuwe modelcontracten tevens gebruikt worden voor deze vormen van doorgifte.
Bovendien moet het bedrijf dat persoonsgegevens doorgeeft aan een derde land nagaan of dat land een adequaat beschermingsniveau biedt dat in overeenstemming is met de AVG. Dit kan worden gecontroleerd door middel van het uitvoeren van een risicoanalyse. Deze risicoanalyse moet gedocumenteerd worden en desgevraagd beschikbaar zijn voor de toezichthoudende autoriteit.
Ook worden er in de nieuwe versie strengere eisen gesteld aan het beschermen van de doorgifte van persoonsgegevens. Zo zijn er strengere eisen voor transparantie en worden de rechten van personen van wie gegevens verwerkt worden versterkt. Ook dient de ontvangende partij, die zich in een derde land bevindt, betrokkenen te informeren indien het een verzoek tot inzage krijgt van een publiek orgaan. Dit kan bijvoorbeeld gaan om een inlichtingendienst in het desbetreffende land. Als een dergelijk verzoek wordt gedaan, mag alleen inzage worden verleend tot de noodzakelijke gegevens.
De volledige tekst van het concept is hier te raadplegen. Het concept van de Europese Commissie staat nog tot 10 december open voor feedback. De definitieve versie van het vernieuwde modelcontract wordt naar verwachting begin 2021 aangenomen. Hierna dienen organisaties de huidige modelcontracten te vervangen door de nieuwe versie.
Wij zullen u tussentijds op de hoogte houden van relevante ontwikkelingen en informeren als het concept modelcontract definitief wordt vastgesteld. Als u vragen heeft over dit onderwerp, kunt u uiteraard altijd contact met ons opnemen.
Belangrijkste aanbevelingen EDPB:
- Weet waar persoonsgegevens naar toe gaan en op basis waarvan persoonsgegevens worden doorgegeven
- Check de lokale wetgeving
- Controleer of aanvullende maatregelen uitkomst kunnen bieden
- Herbeoordeel regelmatig het beschermingsniveau in het derde land
