Doorgifte van data buiten de EER

By in
Doorgifte van data buiten de EER

Wisselt uw organisatie persoonsgegevens uit met een partij buiten de EER of wilt u meer weten over dit onderwerp? In dit artikel bespreken we de gevolgen van het ongeldig verklaren van het Privacy Shield.

Het Hof van Justitie van de Europese Unie heeft op 16 juli jl. uitspraak gedaan in de Schrems II-zaak. De Oostenrijkse privacy-activist Max Schrems klaagde opnieuw succesvol over de doorgifte van zijn persoonsgegevens naar de Verenigde Staten en het Privacy Shield werd ongeldig verklaard. De gevolgen van dit arrest voor de export van data zijn enorm. Bovendien is er geen sprake van een overgangsperiode waardoor elk bedrijf, dat persoonsgegevens exporteert naar een derde land, onmiddellijk hun zaken op orde moe(s)t brengen.

Het Schrems II arrest raakt bijna elk bedrijf in Nederland. Veel bedrijven exporteren persoonsgegevens naar de VS zonder dat ze hiervan zelf op de hoogte zijn. Tal van veelgebruikte websites en tools zoals Google Analytics, Hubspot, Dropbox, Gmail, Facebook, LinkedIn en Twitter exporteren namelijk persoonsgegevens naar de VS.

Wat is er precies gebeurd?

De AVG bepaalt dat de doorgifte (export) van persoonsgegevens naar een derde land (buiten de EER) in beginsel slechts kan plaatsvinden indien het derde land een passend beschermingsniveau waarborgt. Dit passende beschermingsniveau moet vergelijkbaar zijn met dat van de AVG. De Commissie kan op grond van de AVG vaststellen dat een derde land op basis van zijn nationale wetgeving of internationale toezeggingen een passend beschermingsniveau waarborgt. De AVG bevat een aantal mogelijkheden om dit passende beschermingsniveau te realiseren. In de Schrems II zaak staan twee van deze mogelijkheden ter discussie:

  • Doorgifte op basis van een adequaatheidsbesluit, in dit geval het Privacy Shield
  • Doorgifte op basis van modelcontracten, ook wel Standard Contractual Clauses (SCC’s) genoemd

Volgens het Hof van Justitie van de Europese Unie bood het Privacy Shield, de opvolger van Safe Harbor, niet voldoende waarborgen om de persoonsgegevens van Europese burgers te beschermen. Derhalve werd het Privacy Shield ongeldig verklaard. Het ongeldig verklaren van het Privacy Shield betekent kortgezegd dat organisaties binnen de EU niet langer persoonsgegevens meer mogen doorgeven naar de VS door een beroep te doen op het Privacy Shield als een passende waarborg.  

Ook de modelcontracten vormden een belangrijk discussiepunt in de Schrems II zaak. Dit zijn door de Europese Commissie opgestelde standaardbepalingen die als doel hebben om een met de AVG vergelijkbaar beschermingsniveau te realiseren. Het Hof heeft in het arrest aangegeven dat de wetgeving in het land van ontvangst getoetst dient te worden. Er zijn namelijk geen passende waarborgen voor doorgifte aanwezig indien deze wetgeving niet voldoet aan het beschermingsniveau dat de modelcontracten proberen te bewerkstelligen.  

Praktische gevolgen

Naast de eerdergenoemde gevolgen voor het gebruik van modelcontracten brengt het arrest nog een aantal andere praktische gevolgen met zich mee. Onderstaand zullen deze worden toegelicht.

Verwerkersovereenkomsten

Als doorgifte van data door de (sub-) verwerker contractueel is toegestaan in een verwerkersovereenkomst door de verantwoordelijke/exporteur, maar er in het land van bestemming geen vergelijkbaar beschermingsniveau is, dan moet deze doorgifte gestaakt worden. Met de verwerker zal een nieuwe overeenkomst gesloten moeten worden waarin de bevoegdheid om data door te geven buiten de EER zal moeten worden ingeperkt. Er is geen sprake van contractbreuk, maar de verantwoordelijke is op dat moment wel zelf in overtreding. Dergelijke afspraken in verwerkersovereenkomsten moeten daarom zo snel mogelijk worden aangepast.

Cookies

Doorgifte middels het gebruik van ‘Amerikaanse cookies’ die persoonsgegevens verwerken is niet langer toegestaan. Er wordt immers data verstuurd naar een bedrijf in de VS zonder passende waarborgen. Expliciet toestemming vragen voor deze doorgifte in cookiebanners is geen passende oplossing gezien deze verwerking niet incidenteel is. Op dit punt is het verstandig om een Europese partij in te schakelen. Dit advies geldt ook voor het gebruik van anti-spammaatregelen, Google Analytics en het gebruik van tracking mogelijkheden door middel van Facebook pixels en LinkedIn pixels voor marketingdoeleinden.

Moeder- en dochterondernemingen

Ook al verwerkt een Amerikaans bedrijf zijn data binnen de EU, dan nog kan het zo zijn dat het bedrijf verplicht is om persoonlijke data door te geven aan de VS. Dit alles kan gebeuren vanwege de Cloud Act. Dergelijke bedrijven zijn daardoor verplicht om gegevens die buiten de VS worden verwerkt te bewaren en te verstrekken op verzoek van Amerikaanse veiligheidsdiensten.

Voor een dochterbedrijf dat gevestigd is in Nederland en haar gegevens opslaat op een Nederlandse server gelden andere regels. Op basis van de AVG is een dergelijk dochterbedrijf namelijk verplicht haar gegevens in Nederland te laten. Er is daarnaast geen Amerikaans recht van toepassing op het bedrijf vanwege de geografische ligging en het feit dat het enkel gegevens binnen de EU verwerkt.

Sancties

De Shrems II uitspraak is, zoals eerder genoemd, direct van toepassing en er is geen sprake van een overgangsperiode. Een overtreding van de uit deze uitspraak voortvloeiende regels kan beboet worden door de Autoriteit Persoonsgegevens (max 20 miljoen euro of 4% van de wereldwijde omzet). Het is daarom aan te raden om zo snel mogelijk maatregelen te nemen. Wanneer het niet mogelijk is om op korte termijn compliant te zijn, is het raadzaam om daar transparant over te zijn richting betrokkenen. Daarnaast is het van belang een planning te maken met de te nemen stappen Hiermee kan, indien nodig, aan de toezichthouder aangetoond worden dat de organisatie zich bewust is van de geldende regels en dat de vereiste maatregelen op korte termijn genomen zullen worden. 

Oplossingen

Een goede eerste stap voor een organisatie is in ieder geval om een inventarisatie te maken van alle leveranciers, tools en applicaties. Het is van belang hierbij in kaart te brengen waar de persoonsgegevens precies verwerkt worden. Indien uw organisatie gebruikt maakt van een verwerkingsregister, zal de meeste informatie hieromtrent uit het register gehaald kunnen worden.

Vervolgens is het van belang om de waarborgen te controleren, indien inderdaad door uw organisatie persoonsgegevens naar de VS worden doorgegeven. Dit kunt u doen door hierover contact te leggen met uw Amerikaanse leveranciers. Aan de hand van de reactie van uw leveranciers dient u te bepalen of u langer gebruik wenst te maken van de diensten van de desbetreffende leveranciers of dat er wellicht geschikte Europese alternatieven voorhanden zijn.

Het is in ieder geval raadzaam om op de hoogte te blijven van de ontwikkelingen rondom dit onderwerp. De Autoriteit Persoonsgegevens heeft helaas nog geen concrete reactie gegeven over het arrest. Wel heeft de European Data Protection Board (EDPB) een FAQ over het onderwerp op haar website gepubliceerd.

Heeft u hulp nodig?

Wisselt uw organisatie persoonsgegevens uit met een Amerikaanse partij of wilt u meer weten over dit onderwerp? Neem dan contact met ons op, zodat wij u kunnen helpen met de te nemen maatregelen. Aan de hand van een stappenplan kunnen wij u helpen om te voldoen aan de nieuwe eisen die uit het arrest voortvloeien. Wij houden de ontwikkelingen omtrent deze zaak nauwlettend voor u in de gaten en kunnen u helpen de eerste stappen te nemen om uw doorgifte in de toekomst op een correcte wijze te laten plaatsvinden.