Het is alweer (bijna) vier maanden geleden dat het Europese Hof het Privacy Shield ongeldig heeft verklaard. Het Hof oordeelde onder andere dat doorgifte van persoonsgegevens alleen is toegestaan als de uitkomst van een case-by-case assessment positief is. Inmiddels hebben organisaties verschilde stappen genomen in het kader van deze assessment. Wat is nou voldoende?
Wat was er ook alweer gebeurd?
Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie in de zogenaamde Schrems II-zaak het Privacy Shield als doorgiftemechanisme naar de Verenigde Staten ongeldig verklaard. De uitspraak heeft directe gevolgen voor elke organisatie binnen de Europese Unie die Amerikaanse leveranciers gebruikt en kan door elke Europese toezichthouder worden gehandhaafd. Het gebruik van de Standard Contractual Clauses (SCC’s) als mechanisme is nog toegestaan, maar organisaties dienen per geval een beoordeling te maken over de bescherming van persoonsgegevens. Voor leveranciers in de Verenigde Staten zal dit echter vrijwel nooit voldoende zijn, omdat Amerikaanse wetgeving (zoals FISA) afdoet aan het beschermingsniveau dat de SCC’s creëren.
De Europese Commissie is in augustus gesprekken gestart over een mogelijke vervanging van het Privacy Shield. Hier zijn op dit moment nog geen belangrijke updates over. De Oostenrijkse privacy-activist Max Schrems, degene die het Privacy Shield ongeldig verklaard kreeg, heeft wel al aangegeven een nieuwe oplossing weer aan te vechten wanneer deze niet in lijn met de AVG is. Hij ziet zelf geen structurele oplossing zolang de wetgeving in de VS niet wordt aangepast. De Europese Commissie heeft wel aangegeven dat er wellicht voor het einde van dit jaar nieuwe SCC’s zullen komen. Ook daarbij zal gelden dat een case-by-case assessment nodig is.
Wat kunnen organisaties doen naar aanleiding van de uitspraak?
Het is van belang dat organisaties weten welke leveranciers zijn ingeschakeld en waar de gegevens fysiek worden verwerkt. Voor elke Amerikaanse leverancier dient te worden bepaald of het noodzakelijk is om deze te blijven gebruiken. Dit kan door de leverancier te informeren over de uitspraak van het Europese Hof en informatie op te vragen over de juridische situatie in dat land over de bescherming van persoonsgegevens (bijvoorbeeld over massa surveillance). Vervolgens dienen zowel juridische als technische waarborgen aanwezig te zijn. Juridisch gezien is het sluiten van SCC’s minimaal vereist. Aanvullende technische maatregelen kunnen bijvoorbeeld bestaan uit:
- anonimiseren of pseudonimiseren, waarbij alleen de Europese partij kan her-identificeren;
- data-minimalisatie;
- encryptie, waarbij de Europese partij de encryptiesleutel houdt;
- afspraken dat de gegevens worden gehost in een Europese lidstaat;
- afspraken dat de gegevens niet worden doorgegeven naar de VS. Toegang vanuit een Amerikaanse entiteit wordt ook gezien als ‘doorgifte’;
- transparantie, bijvoorbeeld gepubliceerd beleid over omgang met overheidsverzoeken of cijfers over hoe de leverancier hier eerder mee om is gegaan.
Hoe kunnen organisaties het beste omgaan met strenge eisen vanuit klanten?
Datacenters hebben vaak een beperkte privacyrechtelijke rol, afhankelijk van de specifieke dienstverlening. Colocatie datacenters zijn geen verwerker voor de activiteiten op de servers en randapparatuur van de klant. Wel dienen zij zorgvuldig om te gaan met de gegevens die zij zelf verwerken, zoals klant-, leveranciers-, en personeelsgegevens. Hetzelfde geldt als er aanvullende diensten geboden worden, zoals bijvoorbeeld supportdiensten door een eigen leverancier, of klantenservice die door een derde geboden wordt. Vooral in deze gevallen is het belangrijk om leveranciersmanagement goed op orde te hebben. Weet welke partijen zijn ingeschakeld en waar de gegevens worden verwerkt (in transit en at rest). Vanaf nu dienen minstens de SCC’s met Amerikaanse leveranciers te zijn gesloten, aangevuld door technische maatregelen.
Dient de AVG-documentatie te worden aangepast?
De uitspraak heeft geen gevolgen voor de afspraken die bijvoorbeeld in een verwerkersovereenkomst moeten worden gemaakt met klanten en/of leveranciers. Wel kan het zijn dat de praktische invulling moet worden aangepast. Wanneer er bijvoorbeeld gewerkt wordt met bijlages, waarin het Privacy Shield als passende waarborg voor doorgifte wordt genoemd, dient dit aangepast te worden naar de huidige situatie (bijvoorbeeld: SCC’s en aanvullende technische maatregelen).
Ook in de privacyverklaring dienen verwijzingen naar het Privacy Shield verwijderd te worden. In plaats hiervan kan eveneens SCC’s en aanvullende technische maatregelen worden genoemd, en dat de organisatie de mogelijke gevolgen nog aan het onderzoeken is om de bescherming van persoonsgegevens te waarborgen.
Tot slot hoort het verwerkingsregister informatie te bevatten over de verwerkingslocatie en, indien van toepassing, de passende waarborg. Ook dit dient te worden aangepast naar deze nieuwe situatie.
Kunnen organisaties een boete krijgen?
Organisaties die persoonsgegevens in de VS blijven verwerken zonder passende waarborgen kunnen een boete krijgen en kunnen voor schadevergoeding worden aangesproken door betrokkenen. Gegevens verwerken in de VS zonder passende waarborgen is een directe schending van de AVG die kan leiden tot een boete van de hoogste categorie: € 20.000.000,- of 4% van de wereldwijde jaaromzet. De eerste grote zaken zijn al begonnen tegen Amazon en Facebook. Ook is het in de praktijk nog niet duidelijk wat als een ‘voldoende’ assessment wordt beschouwd. Hier zou de European Data Protection Board later op terugkomen. Daarnaast hebben betrokkenen het recht om een klacht in te dienen bij de toezichthouder (voor Nederland: de Autoriteit Persoonsgegevens (AP)). De AP is gehouden om elke klacht te onderzoeken. Ook hebben betrokkenen het recht op schadevergoeding bij schade ontstaan door schending van de AVG.
____________
Auteur:
ICTRecht Privacy
Jollemanhof 12
1019 GW Amsterdam
020 663 19 41
privacy@ictrecht.nl
www.ictrecht.nl/privacy