Het Hof van Justitie van de Europese Unie heeft begin juli het Privacy Shield ongeldig verklaard. Het Privacy Shield was een resultaat van afspraken tussen de EU en de VS over de doorgifte en bescherming van persoonsgegevens van EU-burgers. Amerikaanse partijen konden door middel van de Privacy Shield certificering aan Europese organisaties tonen dat er adequate maatregelen waren getroffen om de persoonsgegevens van EU-burgers te beschermen.
Ook onderwijsinstellingen sturen vaak gegevens door naar partijen die gevestigd zijn in de VS. Zorg daarom dat je op de hoogte bent van de gevolgen van het afschieten van het Privacy Shield en onderneem actie.
Wat is het probleem van dataverwerking binnen de VS?
De privacywetgeving binnen de VS is fundamenteel anders wanneer we deze vergelijken met het niveau van de bescherming van persoonsgegevens binnen de EU. Hoewel er binnen de VS op federaal en staatsniveau verschillende privacywetten bestaan, zijn er behoorlijke verschillen met onze AVG.
Het grote probleem met betrekking tot het Privacy Shield is echter de wetgeving rondom de bevoegdheden van de verschillende inlichtingendiensten binnen de VS. Inlichtingendiensten kunnen vrij gemakkelijk rondneuzen door gegevens van EU-burgers. Deze bevoegdheden worden niet genoeg beperkt door het Privacy Shield, waardoor de privacyrechten van EU-burgers gemakkelijk geschonden kunnen worden. De bevoegdheden van de inlichtingendiensten gaan volgens het Hof namelijk verder dan wat strikt noodzakelijk is. Ook is er voor EU-burgers geen goede rechtsmogelijkheid om in verzet te komen tegen deze “afluisterpraktijken”. Kortom: inlichtingendiensten binnen de VS hebben te vergaande bevoegdheden die de privacyrechten van EU-burgers schenden.
Welke acties moet ik ondernemen?
- Zorg ervoor dat je goed nagaat of en op welke basis je gegevens doorgeeft naar de VS. Er is geen overgangsperiode van toepassing. Onwettige overdrachten van gegevens zouden kunnen resulteren in boetes.
- Ga alle verwerkers langs en neem alle verwerkersovereenkomsten door. Controleer of er gegevens worden doorgegeven naar de VS. Dit kan je onder meer terugvinden in Bijlage 1 van de verwerkersovereenkomsten volgens het model van het Privacyconvenant.
- Ga na hoe deze (sub-)verwerker de doorgifte van gegevens naar de VS nu onderbouwt. Doet men dit op basis van SCC’s? Ga dan na hoe men dit beargumenteert. Er zijn aanvullende maatregelen nodig. Wordt er encryptie toegepast of worden andere beveiligingsmaatregelen genomen? Vind je het lastig om dit te beoordelen? Neem dan contact met ons op!
- Volg de berichtgeving van de gegevensbeschermingsautoriteiten rondom SCC’s. De redenen om het Privacy Shield ongeldig te verklaren zijn namelijk ook van toepassing op SCC’s. Wij zullen je via onze website en nieuwsbrief hierover ook op de hoogte houden!
Hoe kan ik toch gebruik blijven maken van aanbieders uit de VS?
Vanwege de surveillancewetgeving heeft het Hof van Justitie van de Europese Unie het Privacy Shield per direct ongeldig verklaard. Dat betekent dat je het Privacy Shield niet meer kunt gebruiken als onderbouwing voor doorgifte van gegevens naar de VS. Terwijl je wellicht wel graag die ene mailtool wilt blijven gebruiken, of gebruik wilt maken van de oefensoftware van een uitgever die gebruik maakt van partijen in de VS.
De AVG beschrijft systematisch een aantal voorwaarden voor doorgifte buiten de EU. Gelet op de relaties tussen de school als verwerkingsverantwoordelijk en bepaalde leveranciers als verwerker, zijn er twee praktische mogelijkheden om gegevens naar de VS door te sluizen.¹ Wanneer geen van de voorwaarden uit de AVG van toepassing is, mag doorgifte niet plaatsvinden.
- Adequaatheidsbesluit
Wanneer de Europese Commissie een adequaatheidsbesluit heeft genomen, betekent dit dat het derde land een passend beschermingsniveau biedt voor persoonsgegevens van EU-burgers. Voor verschillende landen is zo’n besluit genomen. Met betrekking tot de VS gold dat dit land geen passend beschermingsniveau kon bieden. Daarom was het adequaatheidsbesluit voor de VS verbonden aan het Privacy Shield. Onder dit adequaatheidsbesluit konden gegevens alleen worden doorgegeven aan bedrijven die in de VS zijn gecertificeerd voor het Privacy Shield. Nu het Privacy Shield ongeldig is verklaard, is deze certificering geen basis meer voor doorgifte naar de VS.
2. Standard Contractual Clauses
De AVG biedt naast adequaatheidsbesluiten nog een andere oplossing om gegevens naar een niet-EU land door te zenden. De Europese Commisie heeft een aantal bepalingen (een modelcontract) op- en vastgesteld, deze worden ook wel Standard Contractual Clauses (SCC’s) genoemd. Wanneer partijen deze bepalingen onderling vastleggen, kan een passend beschermingsniveau worden gewaarborgd voor de doorgifte van persoonsgegevens.
In de uitspraak van het Hof van Justitie van de Europese Unie wijst het Hof op de SCC’s. Deze mogen gebruikt worden wanneer de afspraken van de SCC’s ook terdege waargemaakt kunnen worden. Dat betekent dus dat je de SCC’s alleen kan gebruiken wanneer een gelijkwaardig beschermingsniveau in de praktijk ook écht kan worden gewaarborgd. En laat dat bij doorgifte naar de VS nou niet het geval zijn, want ook bij het gebruik van SCC’s kunnen inlichtingendiensten gemakkelijk rondneuzen in persoonsgegevens van EU-burgers.
Daarom heeft de gegevensbeschermingsautoriteit van de Duitse staat Baden-Württemberg al laten weten dat het gebruik van alleen SCC’s op zichzelf niet voldoende is voor doorgifte van data naar de VS. Het gebruik van SCC’s zonder aanvullende maatregelen biedt onvoldoende bescherming. Bij aanvullende maatregelen noemt deze Duitse gegevensbeschermingsautoriteit als voorbeeld het gebruik van encryptie, anonimiseren of pseudonomiseren. Hierbij dient dan alleen de Europese gegevensexporteur de sleutel te hebben, zodat de aanvullende maatregelen niet verbroken kunnen worden door de Amerikaanse inlichtingendiensten.² Kortom: doorgifte van persoonsgegevens naar de VS op basis van SCC’s is niet onmogelijk, maar in de praktijk bijzonder lastig.
Update: De European Data Protection Board (EDPB) heeft een aantal aanbevelingen gepubliceerd naar aanleiding van de Privacy Shield problematiek. Deze aanbevelingen sluiten aan op de bovenstaande zienswijze uit Baden-Württemberg.
Het gebruik van SCC’s is alleen toegestaan wanneer er voldoende aanvullende maatregelen worden genomen om de veiligheid van de doorgifte te waarborgen. Wat betreft deze aanvullende maatregelen kun je denken aan: het gebruik van zware encryptie alvorens doorgifte plaatsvindt of pseudonimisering van persoonsgegevens. Al met al is het aan te raden om persoonsgegevens zoveel mogelijk binnen de EER te houden. Gebruik alleen verwerkers binnen de VS wanneer er echt geen andere opties zijn. Bekijk ook eens deze handige infographic van de EDPB.
_
¹ – De algemene hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. De AVG werkt dit uit onder de volgende mogelijkheden:
– Adequaatheidsbesluit
– Gebruik van SCC’s
– Gebruik van bindende bedrijfsvoorschriften binnen een concern of groep van bedrijven
– Toepassing van een van de afwijkingen uit art. 49 AVG, zoals bijvoorbeeld toestemming