Het is inmiddels een kleine maand geleden dat het Europese Hof oordeelde dat doorgifte van persoonsgegevens, waaronder hosting in de Verenigde Staten (VS) niet meer is toegestaan op grond van het Privacy Shield. In de zogenaamde Schrems-II zaak oordeelde de rechter dat het Privacy Shield namelijk niet genoeg waarborgen biedt tegen Amerikaans datagraaien, en dat het sluiten van de modelclausules (ook wel Standard Contractual Clauses, of SCC’s genoemd) niet zondermeer voldoende is. Wat voor gevolgen heeft dit precies voor datacenters? De fysieke locatie van gegevens en toegang vanuit buiten de Europese Unie worden in ieder geval een stuk belangrijker.
Wat is een Privacy Shield en waarom is het kapot?
Wanneer er persoonsgegevens worden verwerkt, is de Algemene verordening gegevensbescherming (AVG) van toepassing. Onder ‘verwerken’ valt vrijwel alles wat je met persoonsgegevens kunt doen, waaronder het hosten en opslaan van persoonsgegevens. Wanneer Europese organisaties kiezen voor een leverancier buiten de Europese Economische Ruimte (EER), dienen er extra waarborgen aanwezig te zijn om hetzelfde beschermingsniveau als onder de AVG te creëren. Een waarborg kan zijn dat de Europese Commissie het land als ‘adequaat’ heeft bestempeld, dat een modelcontract wordt gesloten dat is opgesteld door de Europese Commissie, dat er bindende bedrijfsvoorschriften aanwezig zijn, of dat een afwijking uit artikel 49 van toepassing is (zoals toestemming van de betrokkene).
Het Privacy Shield was een vorm van ‘adequaatheid’ voor de VS. Hiermee konden Amerikaanse organisaties middels zelfcertificering aantonen dat ze extra stappen hadden genomen om de gegevensbescherming van Europese gegevens te waarborgen. Het Hof oordeelde dat dit niet genoeg was. Ondanks deze extra stappen, kunnen de Amerikaanse veiligheids- en inlichtingendiensten namelijk toegang vorderen tot de gegevens, en kunnen de systemen object zijn van massa surveillance.
Dit is ook precies de reden dat de SCC’s op losse schroeven staan met Amerikaanse leveranciers. De SCC’s blijven als mechanisme geldig, maar alleen als de wetgeving in het ‘ontvangende’ land niet afdoet aan het beschermingsniveau dat de SCC’s creëren. En dat doet de Amerikaanse wetgeving wel. Het Hof legt hiermee meer verantwoordelijkheid bij organisaties: gebruik je SCC’s? Doe dan ook onderzoek naar de wetgeving in het ontvangende land.
De gevolgen voor colocatie datacenters
De Schrems II uitspraak heeft hoofdzakelijk gevolgen voor de fysieke locatie van de data. Wanneer deze middels colocatie is ondergebracht in Europa, heeft de Schrems II zaak geen gevolgen. Ook niet als de data is ondergebracht bij een Amerikaanse datacenter provider in een in Nederland of Europa gevestigd datacenter. Mocht de data op enig moment wel naar de VS gebracht worden, bijvoorbeeld voor een back-up, dan is het een ander verhaal. In dat geval kan er geen beroep meer worden gedaan op het Privacy Shield én is het nog maar zeer de vraag of de EU model clauses passende waarborgen bieden. Voorlopig lijkt dat niet het geval, omdat de model clauses geen bescherming bieden tegen de vergaande bevoegdheden van de Amerikaanse opsporingsdiensten.
Hoe kunnen we nu verder?
De uitspraak is nog pril, maar de European Data Protection Board (EDPB, het verbond van Europese privacytoezichthouders) is genadeloos: er is geen overgangstermijn en blijf je toch Amerikaanse leveranciers gebruiken, dan moet je dit aan je toezichthouder melden, inclusief motivering. Voor Nederland is dit de Autoriteit Persoonsgegevens.
Met deze nieuwe regels is de fysieke locatie van gegevens een stuk belangrijker geworden: een datacenter in de VS is niet langer zondermeer een optie voor Europese organisaties. De vraag naar Europese datacenters zal hierdoor toenemen. Omdat de term ‘verwerken’ breder is dan puur het opslaan op een server, wordt ook mogelijke toegang tot gegevens belangrijker. Voor Europese organisaties met een Amerikaanse moeder verwachten we dat deze steeds meer verzoeken van klanten zullen krijgen om te garanderen dat de gegevens echt in Europa staan en dat er geen toegang is vanuit de Amerikaanse entiteit. Encryptie is bijvoorbeeld een optie om dit te bewerkstelligen. Is er wel toegang vanuit de VS, dan zal de klant due diligence moeten doen, en zul je als datacenter of hostingprovider extra waarborgen moeten kunnen bieden om toegang door de Amerikaanse overheid en massa surveillance tegen te gaan.
Auteur
Peter Kager – Directeur ICTRecht Privacy
Laura Monhemius – Juridisch adviseur