Export persoonsgegevens buiten Europa weer op losse schroeven
Na het vaststellen van nieuwe Standard Contractual Clauses (SCC’s) door de Europese Commissie in juni 2021, leek het erop dat uitwisseling van persoonsgegevens met de VS weer mogelijk was. Maar een recente uitspraak van de Oostenrijkse privacytoezichthouder (de Datenschützbehörde, DSB) gooit roet in het eten. Het politieke spel tussen de EU en de VS over bescherming van privacy is daarmee weer terug op de agenda. Intussen is het voor bedrijven die gebruik maken van buitenlandse IT-diensten onduidelijk waar ze aan toe zijn.
Hoe zat het ook alweer?
Dankzij de Avg gelden in heel Europa dezelfde regels voor het beschermen van persoonsgegevens. Verwerk je gegevens buiten de EU, dan moet je aanvullende afspraken maken. Om dat makkelijker te maken had de EU met de Verenigde Staten een verdrag afgesloten: Privacy Shield. Maar in 2020 deed het Hof van Justitie van de Europese Unie een uitspraak met grote gevolgen. De uitspraak staat bekend als de Schrems II-zaak, waarin privacy-activist Max Schrems (opnieuw) klaagde over doorgifte van zijn persoonsgegevens naar de Verenigde Staten.
Als gevolg van deze uitspraak is onder andere Privacy Shield per direct ongeldig verklaard. Dit legde een bom onder het internationale dataverkeer en de onzekerheid nam toe. Om uit de impasse te komen, die met de Schrems II-zaak is ontstaan, publiceerde de European Data Protection Board (EDPB) aanbevelingen. De EDPB is een onafhankelijk Europees orgaan dat bestaat uit vertegenwoordigers van nationale toezichthouders, zoals de Autoriteit Persoonsgegevens. Daarnaast kwam de Europese Commissie met de lang verwachtte update van de Standard Contractual Clauses (SCC).
Door SCC’s te sluiten met de partij buiten de EU (de VS of een ander ‘derde land’) waarmee persoonsgegevens worden uitgewisseld, zou deze uitwisseling weer rechtmatig mogelijk zijn. Het resultaat was natuurlijk dat iedereen als een bezetene SCC’s ging sluiten met buitenlandse partijen. Administratief een nachtmerrie, maar noodzakelijk om nog gegevens te kunnen uitwisselen.
Addertje onder het gras
De kern van de Schrems II-zaak is dat opsporingsdiensten in de VS toegang kunnen krijgen tot persoonsgegevens van Europeanen op servers in de VS. Maar in de VS hebben Europeanen niet dezelfde mogelijkheden om bij misstanden naar de Amerikaanse rechter te stappen. De rechtsbescherming van persoonsgegevens in de VS, is volgens Europa onvoldoende gegarandeerd. Het gesneuvelde Privacy Shield moest deze extra bescherming wel bieden, maar de hoogste Europese rechter vond dus van niet. Als oplossing gaf de EDPB aan dat je naast SCC’s ook een zogenaamd ‘Data Transfer Impact Assessment’ (DTIA) moet uitvoeren. Elk bedrijf dat gegevens exporteert naar een derde land moet in een DTIA onderzoeken of de privacy van betrokkenen voldoende is beschermd, gezien het rechtsstelsel, de relevante wet- en regelgeving en de mate van inmenging van de overheid in het land waarnaar de persoonsgegevens worden geëxporteerd.
Veel bedrijven zijn dan ook sinds Schrems II met juristen aan de slag gegaan om DTIA’s uit te voeren. Als uit een DTIA volgt dat de rechtsbescherming onvoldoende is, dan moet je passende aanvullende technische en organisatorische maatregelen nemen (zodat de gegevens wel voldoende beschermd zijn), of niet aan de uitwisseling beginnen. Hoe zo’n assessment precies moet worden uitgevoerd en welke aanvullende maatregelen dan afdoende zijn, is nog steeds niet duidelijk. Veel bedrijven staan dus voor een praktisch onmogelijke opgave.
Uitspraak Oostenrijkse toezichthouder inzake Google Analytics
Het bedrijf van meneer Schrems (Non Of Your Business) heeft na de Schrems II-uitspraak 101 klachten ingediend bij diverse toezichthouders in Europa. De Oostenrijkse DSB heeft in december op één van deze klachten beslist. De klacht ging over een lokale Oostenrijkse website die Google Analytics gebruikt. Bij dat gebruik worden er persoonsgegevens, namelijk IP-adressen en advertentie-ID’s naar de VS gestuurd om surfgedrag te analyseren. Ondanks dat de Oostenrijkse websitehouder en Google Analytics SCC’s sloten en aanvullende beveiligingsmaatregelen namen (waaronder encryptie van data in rust, pseudonimiseringsmaatregelen en een strenge interne procedure om na te gaan of gegevens aan opsporingsdiensten verstrekt moesten worden) is dit niet voldoende volgens de Oostenrijkse privacytoezichthouder (DSB). Volgens de DSB zijn deze maatregelen niet effectief genoeg om rechtsbescherming zeker te stellen. Hierdoor is de data export niet toegestaan.
De Nederlandse Autoriteit Persoonsgegevens (AP), waar ook twee klachten liggen, heeft inmiddels gewaarschuwd dat zij wel eens tot een vergelijkbare uitspraak zou kunnen komen. Ook de CNIL (Franse privacy toezichthouder) heeft op 10 februari 2022 een uitspraak gedaan, vergelijkbaar met de DSB.
Hoe nu verder?
Deze uitspraak zorgt opnieuw voor onduidelijkheid. Over de voorwaarden, maar ook welke technische en organisatorische maatregelen je moet nemen, zodat de export van persoonsgegevens naar de VS wel is toegestaan. De meest zekere optie op dit moment: zorg ervoor dat gegevens op servers in Europa staan en niet worden geëxporteerd. Of vraag als bedrijf aan ieder individu specifiek toestemming voor export van gegevens (je krijgt dan een soort ‘dubbele cookietoestemming’). Wellicht kunnen er ook nog aanvullende maatregelen getroffen worden die wel voldoende zijn voor de Europese toezichthouders. Maar welke dat zijn is niet duidelijk. Dit alles maakt vrij verkeer van gegevens er natuurlijk niet makkelijker op. Het beperkt Europese bedrijven in hun gebruik van buitenlandse diensten.
Voor een meer structurele oplossing voor álle bedrijven vragen wij als branchevereniging al sinds oktober 2020 aandacht voor dit probleem in de politiek. Uiteindelijk is het aan de EU en de VS om dit conflict van wetgeving op te lossen. Dat kan door nieuwe afspraken te maken over hoe we de persoonlijke data van elkaars burgers in de digitale wereld respecteren. Uiteraard houden we je via deze website op de hoogte van de ontwikkelingen.
Heb je vragen?
Elke dinsdag van 11.00 – 12.00 uur is er een digitaal juridisch spreekuur voor leden. Hierin beantwoordt onze jurist Henk Bethlehem vragen van leden.
Het laatste nieuws
‘Toezicht door de mens blijft altijd nodig’
NLdigital roept AP op om handreiking over scraping te schrappen en pleit voor duidelijkheid over het kunnen gebruiken van persoonsgegevens voor AI-modellen
CRA gepubliceerd: cybersecurity vereisten voor alle hard- en software
NLdigital pleit samen met partners voor heroverweging EU-aanpak online kindermisbruik
