16 juli 2020 is een datum die nog vaak zal terugkomen in de studieboeken van privacy professionals. Het Europese Hof van Justitie zetten een streep door het Privacy Shield met consequenties voor het internationale dataverkeer. Jij gebruikt leveranciers zoals Google, Microsoft of Mailchimp en je vraagt je af wat nou de impact voor jouw bedrijf? Is het allemaal theoretisch gezwets of moet je nu echt snel aan de bak? Je leest het in dit artikel. Daarnaast vind je op het einde concreet stappenplan!
Grote kans dat je op dit moment in “overtreding” bent. Geen leuke start van het artikel, maar ik val graag met de deur in huis. Wees gerust ik ga jou met dit artikel verder helpen om jouw risico’s te beperken zodat je zoveel mogelijk kan verantwoorden, maar eerst wat uitleg vooraf.
Doorgifte persoonsgegevens naar andere landen
Je mag als organisatie niet zomaar persoonsgegevens doorspelen naar partijen buiten de Economische Europese Ruimte (Europese Unie en Liechtenstein, Noorwegen en IJsland), hierna: “EU/EER”. Andere landen zoals de VS moeten een gelijke beschermingsniveau garanderen als dat wij hanteren in de EU/EER.
De AVG noemt een aantal mogelijkheden om dit te garanderen. Hiervan stonden er twee ter discussie in de zaak Schrems II:
- doorgifte op basis van een adequaatheidsbesluit (in dit geval: het privacy shield-verdrag tussen de EU en de VS);
- doorgifte op basis van modelcontracten (ook wel standaardbepalingen of standard contractual clauses (SCC’s) genoemd).
Hieronder ga ik hier dieper in op deze mogelijkheden en de impact van de Schrems II uitspraak.
Wachten op privacy Shield 2.0?
Privacy Shield was een tweede poging om doorgifte van persoonsgegevens van de EU naar de VS veilig te stellen binnen de kaders van de AVG. Deze is nu per direct ongeldig verklaard! Poging één was het Safe Harbour verdrag en die ging eerder ook al onderuit in Schrems I. Is driemaal dan echt scheepsrecht?
Op 10 augustus hebben de Europese Commissie en de Department of Commerce (VS) aangekondigd opnieuw te kijken naar een mogelijk aangepaste privacy Shield die voldoet aan de Schrems II uitspraak. Wachten hierop is echter geen optie voor jouw bedrijf of je moet de Autoriteit Persoonsgegevens mededelen dat je gegevens blijft delen met Amerikaanse partijen zonder iets te regelen.
Verder vraag ik mij ten zeerste af hoe realistisch een rechtsgeldige Privacy Shield 2.0 is. Na bestudering van de Amerikaanse surveillance wetten en de impact daarvan op niet-Amerikanen vraag ik mij echt af hoe een verdrag ooit compliant wordt met de AVG. Drastische wijzingen zijn dan gewoon nodig in de Amerikaanse of Europese benadering van privacy. Zolang dat niet gebeurt verwacht ik niet dat een nieuw verdrag de oplossing gaat bieden althans geen blijvende oplossing. Ik zie al snel weer een Schrems III aankomen.
Al met al zou een overkoepelende privacy wet, iets vergelijkbaars met de AVG, niet gek zijn op Amerikaanse of zelfs globaal niveau. Een combinatie van de Amerikaanse privacy benadering per sector gecombineerd met de Europese manier zou in mijn ogen een match made in heaven zijn. Wachten op dit wonder zou ik jou niet willen aanraden.
En modelcontracten dan?
Het Hof heeft aangegeven dat de zogeheten standard contractual clauses (hierna “SCC’s”) nog steeds rechtsgeldig zijn. Je moet wel nagaan bij jouw verwerker of de juiste beschermingsmaatregelen gehanteerd worden door jouw Amerikaanse verwerkers. Hierbij moet telkens op grond van de AVG een analyse worden gemaakt van het rechtsstelsel van het land. Hier moet onder meer worden gelet op de eerbiediging van mensenrechten, de toegang van overheidsinstanties tot persoonsgegevens, waarborging van de rechten van betrokkenen en het bestaan van een onafhankelijke toezichthoudende autoriteit. Ik durf mijn hand er voor in het vuur te steken dat de VS niet voldoet aan al deze punten.
Kortom een hoop gedoe voor bedrijven om een analyse uit te voeren en daarmee de juiste bescherming te garanderen. Naar mijn mening zullen de huidige SCC’s op de lange termijn geen stand houden. Wat moet je nu dan doen? Volg hieronder mijn stappenplan om zo jouw keuze goed te verantwoorden.
Stap 1 – Breng de data importeurs in kaart
Zorg dat je helder hebt naar welke partijen jij persoonsgegevens verstuurd. Dit is als het goed is niet nieuw voor je. Als ondernemer ben je in de meeste gevallen verplicht om een register bij te houden met alle verwerkingen van persoonsgegevens. Daarnaast helpt zo’n register ook bij andere onderdelen van de AVG. Zo krijg je snel informatie over welke informatie je doorzet naar partijen.
Stap 2 – Vraag het na bij jouw verwerker(s)
Controleer de gemaakte afspraken en voorwaarden met jouw leverancier. Denk aan de verwerkersovereenkomst of andere voorwaarden. Kijk hier goed na of die verwerker in de VS zit of mogelijk weer andere partijen (subverwerkers) gebruikt die zich in de VS bevinden. Als dit het geval is, dien je contact op te nemen met de verwerker en navraag te doen of ze een passend beschermingsniveau hanteren. Is dit een lastig punt? Absoluut! Maar het is op zijn minst aan te raden dat je navraag doet.
De uitspraak van het Hof is helder. Je moet kritisch kijken naar jouw verwerkers. Jij blijft immers verantwoordelijk voor de verwerkingen. Ik verwacht niet dat je nu een audit gaat uitvoeren bij Microsoft, maar navraag doen is een kleine moeite. Documenteer dit ook.
Stap 3 – Wees transparant naar jouw klanten
Moet je 100% alles perfect doen volgens de AVG? Nee, maar zorg wel dat je transparant bent naar jouw klanten. Zorg dat jouw privacyverklaring up-to-date is. Verstrek jij persoonsgegevens van jouw klanten buiten de EU/EER dan moet je dit vermelden in jouw verklaring. Wees transparant en duidelijk. Dat scheelt meestal al een hoop gedoe.
Stap 4 – Stap snel over op SCC!
Er is geen overgangsperiode dus als jij persoonsgegevens doorgeeft aan Amerikaanse organisaties op basis van Privacy Shield dan ben je nu eigenlijk in overtreding. Het beste alternatief op dit moment lijken de standard contractual clauses. Zoals eerder aangegeven brengen deze echter ook problemen met zich mee. Het blijft jouw verantwoordelijkheid om te bepalen dat deze SCC’s passende bescherming bieden met de Amerikaanse partij. Kijkend naar de vergaande surveillance wetten van Amerika acht ik die kans niet hoog in. Echter op dit moment lijken SCC’s de beste korte termijn oplossing, maar ga zeker door naar stap 5.
Stap 5 – Switch naar Europese alternatieven
Je hebt alle stappen doorlopen en je hebt nu een tijdelijke oplossing. Let op je moet dit echt zien als een tijdelijke oplossing aangezien ik niet verwacht dat SCC’s voldoende zijn in de huidige vorm. De beste blijvende oplossing is dat je over stapt op Europese alternatieven. Mocht dit geen mogelijkheid zijn en je wilt gebruik blijven maken van Amerikaanse leveranciers dan kan je nog werken met expliciete toestemming van de betrokkenen, de personen waarvan jij de gegevens verwerkt. Dit lijkt mij echter niet raadzaam. Hier komt een forse administratieve last om de hoek kijken om alles goed vast te leggen. Daarnaast kan een betrokken zijn toestemming intrekken waardoor je weer terug bij af bent. Al met al is op dit moment een Europees alternatief echt de beste blijvende oplossing. Kies je niet voor een Europees alternatief? Kijk dan naar stap 6.
Stap 6 – Zorg dat je verantwoording kan afleggen
Welke keuze je ook maakt, zorg ervoor dat je alles schriftelijk vastlegt en opslaat. Kom je tot de conclusie dat je gaat voor SCC’s aangezien Europese alternatieven voor nu financieel niet haalbaar zijn? Documenteer dat! Wellicht stap je over een paar maanden over naar een Europees alternatief en laat je het nu voor wat het is. Noteer dit ook en sla het op!
Ik ga geen oordeel vellen over jouw keuze, maar de Autoriteit Persoonsgegevens kan dat wel doen. Zorg daarom dat je alles goed noteert en dat je verantwoording kan afleggen indien nodig. Ik verwacht niet dat je nu direct een boete zal ontvangen, maar weet wel dat je een risico loopt op dit moment als je niets doet. Daarbij komt dat dit hele verhaal ook veel publiciteit heeft ontvangen en dat jouw klanten ook een en ander voorbij zagen komen. Voorkom kans op reputatieschade en werk alvast vooruit.
Aan de slag!
Op dit moment is er nog veel onduidelijk over de praktische gevolgen nu Privacy Shield ongeldig is verklaard. Ik verwacht ook dat dit nog maanden gaat duren voordat er echt goede oplossingen komen vanuit de praktijk. Voor nu is de beste oplossing om helemaal geen gebruik te maken van Amerikaanse partijen. Richt je op Europese alternatieven. Als dat niet realistisch is, zorg dan dat je mijn stappenplan volgt.