"Voor futureproof ondernemen in flex"
SLUIT MENU

Geen persoonsgegevens meer naar Amerika?

Geen persoonsgegevens meer naar Amerika?

Door Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

Het gebeurde midden in de vakantietijd, maar wellicht heeft u er toch iets van mee gekregen. Op 16 juli 2020 heeft het Europees Hof van Justitie, de hoogste rechter van Europa, het Privacy Shield als gegevenswaarborg onrechtmatig verklaard. “Privacy Shield, wat is dat?” hoor ik u zeggen. Hoewel vaak onbekend, toch van belang. Ik neem u daarom mee in deze uitspraak en de consequenties daarvan. En waarom het belangrijk is dat u weet welke gegevens u waar verwerkt of laat verwerken.

Op grond van de AVG bent u verantwoordelijk voor een zorgvuldige en rechtmatige omgang met persoonsgegevens, ook als u die persoonsgegevens aan derde partijen verstrekt. De wet zegt dat u gegevens alleen buiten de EU/EER mag verstrekken of laten verwerken (bijvoorbeeld opslaan) als in het ontvangende land een passend bescherming is of dat u daar passende waarborgen voor treft. Dit om te voorkomen dat de rechten die de AVG biedt worden ondergraven. De Europese Commissie heeft een lijst* opgesteld met landen die een gegevensbeschermingsniveau bieden die vergelijkbaar is met de AVG. Voor Amerika geldt hierbij specifiek dat de ontvangende Amerikaanse organisatie het Privacy Shield moet hebben ondertekend.

Het Hof van Justitie heeft op 16 juli jl. nu verklaard dat deze certificering – met onmiddellijke ingang – onrechtmatig is. Belangrijkste reden is dat Amerikaanse overheidsdiensten (bijvoorbeeld inlichtingendiensten) toegang kunnen krijgen tot gegevens die in Amerika worden opgeslagen. Het gevolg hiervan is dat gegevensverstrekkingen aan Amerikaanse organisaties die gebaseerd waren op het Privacy Shield vanaf die datum ook onrechtmatig zijn.

Om wat voor partijen gaat dit eigenlijk?
Het gaat om partijen die op grond van Amerikaanse wetgeving verplicht zijn gegevens te delen met bijvoorbeeld inlichtingendiensten. Dit gaat in ieder geval om zogenaamde ‘Electronic communication providers’. U kunt dan denken aan partijen die cloud-opslag, e-maildiensten of internetdiensten regelen. Hieronder vallen heel veel partijen bijvoorbeeld cloud-providers (bijv. Microsoft of Dropbox), cookie-leveranciers (bijvoorbeeld Google, Facebook) of e-maildienstverleners (bijvoorbeeld Mailchimp).

Hoe nu verder?
Er zijn een paar alternatieven. De eerste is dat u de persoonsgegevens door de Amerikaanse leverancier in Europa laat opslaan. Veel partijen bieden die mogelijkheid. Vraag dan wel van de leverancier de garantie dat deze gegevens in Europa blijven. Beter is nog de overeenkomst aan te gaan met een rechtspersoon in de Europese Unie.

Een ander alternatief waar veel Amerikaanse partijen gebruik van maken is de toepassing van de modelovereenkomst zoals die door de Europese Commissie is vastgesteld. Alleen: het Hof van Justitie heeft in dezelfde uitspraak aangegeven dat de modelovereenkomst alleen geldig is als deze in de praktijk ook minimaal de waarborgen van de AVG biedt. Dit betekent dat er gekeken moet worden naar de wetgeving die lokaal van toepassing is of naar de technische maatregelen die genomen zijn. Voor veel Amerikaanse partijen geldt ook bij de modelovereenkomst nog steeds dat Amerikaanse overheidsdiensten toegang kunnen vorderen. De waarborgen zijn op dit moment eerder te vinden op het technische dan op het juridisch vlak. In de modelovereenkomst zou dan bijvoorbeeld aanvullend kunnen worden opgenomen dat zowel het transport als de opslag van de persoonsgegevens voldoende wordt versleuteld zodat Amerikaanse diensten de gegevens niet in kunnen zien.

De derde mogelijkheid is dat u op zoek gaat naar Europese partijen.

Wordt de soep zo heet gegeten? Moet ik direct handelen?
De meeste leveranciers/service providers stappen over naar de modelovereenkomst. Ook geven die partijen aan het overleg van de toezichthouders af te wachten en te zien welke aanvullende maatregelen er vereist zijn om aan de AVG te voldoen. Dit afwachten is vanuit het perspectief van de leveranciers/service providers te begrijpen, het nemen van aanvullende maatregelen die achteraf niet nodig blijken te zijn kost hun alleen maar geld. Het Hof van Justitie heeft in haar uitspraak echter aangegeven dat de verwerkingsverantwoordelijken verplicht zijn om de doorgifte van persoonsgegevens op te schorten als ze geen rechtsgeldige grondslag hebben en dat de toezichthouders dienen op te treden (boete met een maximum van 20 miljoen of 4% van de jaaromzet); met andere woorden: er is geen respijtperiode. De verwerkingsverantwoordelijken zouden bij het gebruik van modelovereenkomsten als waarborg voor de doorgifte van persoonsgegevens naar Amerika in ieder geval aanvullende technische maatregelen (zoals encryptie van transport en opslag van persoonsgegevens) moeten eisen.

Ook al zouden de toezichthouders niet direct actief willen gaan optreden dan zijn de verwerkingsverantwoordelijken niet helemaal ‘veilig’. Individuele gebruikers, werknemersraden of NGO’s kunnen namelijk een klacht indienen bij de toezichthouder of een rechtszaak aanspannen als een organisatie niet conform de AVG handelt. Zo heeft NOYB bij de toezichthouder inmiddels al een klacht ingediend over meer dan 100 bedrijven (waaronder in Nederland Post.nl en Marktplaats) omdat ze nog altijd gebruik maken van Google en Facebook diensten die onrechtmatig naar Amerika worden verzonden.

Wat te doen?

    1. Vraag je leveranciers/service providers waar ze de gegevens opslaan.
    2. Is dat in Amerika ga dan na welke maatregelen de leverancier/service provider heeft genomen (sluit bijvoorbeeld een modelovereenkomst met de leverancier/service provider en verlang encrypte opslag).
    3. Indien de gegevens in EU worden opgeslagen vraag dan naar de garantie dat deze gegevens niet naar Amerika worden verzonden.
    4. Ga in ieder geval bij nieuwe verwerkingen na welke alternatieven er zijn in de EU.
    5. Pas eventueel je privacystatement aan als je daarin opgenomen hebt dat je gebruik maakt van Privacy Shield.
    6. Blijf de ontwikkelingen actief volgen.

*De landenlijst is te vinden op de site van de Autoriteit Persoonsgegevens.

Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

AVG Garant heeft een AVG-norm ontwikkeld waartegen bedrijven in de flexbranche extern getoetst kunnen worden. Info@avggarant.nl.

Jeroen van Puijenbroek is bestuurslid van de Stichting AVG Garant en directeur van 2Privacy. Daarnaast levert hij FG as a service.