Aanbevelingen EDBP voor doorgifte persoonsgegevens naar landen buiten de EU

Dec 11 2020 -

Maakt jouw bedrijf gebruik van buitenlandse dienstverleners, zoals cookie leveranciers, grote techbedrijven (Facebook, Google, MailChimp), cloud-dienstverleners of hostingbedrijven? Dan is de kans groot dat ‘jouw’ data buiten de EU belandt. Doorgifte van persoonsgegevens naar landen buiten de EU (‘derde landen’) mag alleen als het beveiligingsniveau in het derde land adequaat is. In de Schrems-II uitspraak is het privacy shield met de VS ongeldig verklaard. Doorgifte van persoonsgegevens naar de VS mag dus eigenlijk niet meer. Dat is natuurlijk best een heftige conclusie, want het lijkt vrijwel onmogelijk om van alle Europese bedrijven te eisen dat zij per direct stoppen met het doorgeven van gegevens aan de VS. Een echte oplossing is dan ook er nog niet. De EDBP (European Data Protection Board) heeft ons wel een aantal guidelines gegeven, die we in deze blog zull


Schrems II: David en Goliath


Heb je nog nooit van Maximillian Schrems (“Max Schrems”) gehoord? Dan wordt het bij deze toch echt tijd. Deze privacy-activist (en advocaat) heeft in z’n uppie (oke, wel bijgestaan door een juridisch team uiteraard, maar een David en Goliath vergelijking is toch echt op zijn plaats) de privacy-wereld behoorlijk op zijn kop gezet. Door zijn volhardende aanpak, heeft het Hof van Justitie op 16 juli 2020 een baanbrekende uitspraak gedaan die behoorlijk wat paniek heeft veroorzaakt. De uitspraak is relevant voor alle organisaties en bedrijven die persoonsgegevens doorgeven buiten de EU. Maak je bijvoorbeeld gebruik van MailChimp? Dan is deze blog (en deze!) relevant. Zelf is Max trouwens van mening dat hij slechts heeft ‘rechtgezet wat al recht was’. En daar heeft hij, naar onze mening, eigenlijk wel een punt. Desondanks leidt de uitspraak in de praktijk tot een vrijwel onwerkbare situatie en veel discussie onder (privacy-)juristen. Want eerlijk is eerlijk, we maken vrijwel allemaal gebruik van Amerikaanse dienstverleners: bewust of onbewust.


Schrems-II: waar ging het over?

De Oostenrijker Max Schrems is van mening dat de doorgifte van persoonsgegevens van Facebook Ierland (de Ierse vestiging van het Amerikaanse bedrijf Facebook) naar Facebook Inc. (vestiging in VS) niet mag? Waarom? Omdat - kort gezegd - door het het bestaan van Amerikaanse surveillance wetgeving de privacy van EU-burgers in de VS niet voldoende gewaarborgd kan worden en de doorgifte daarom in strijd is met de Algemene Verordening Gegevensbescherming. In dit kader diende Schrems een klacht in die uiteindelijk bij de Ierse High Court terecht is gekomen. De Ierse High Court stelde vervolgens aan het Europese Hof van Justitie een aantal zogeheten prejudiciële vragen.

Het Hof? Die is het met Max eens. Ze benadrukt dat er in het derde land (VS bijvoorbeeld) sprake moet zijn van een beschermingsniveau dat gelijkwaardig is aan het niveau dat door de AVG wordt gewaarborgd. De VS is volgens het Hof niet in staat om dat gelijkwaardige beschermingsniveau voor persoonsgegevens, te bieden. Verregaande bevoegdheden van de Amerikaanse inlichtingen- en veiligheidsdiensten (op basis van surveillance wetgeving als FISA 702 bijvoorbeeld) om gegevens van EU-burgers, op grote schaal, te mogen verwerken, passen niet bij een dergelijke gelijkwaardig beschermingsniveau.


Kort gezegd,

  • verklaart zij het Privacy Shield tussen EU-VS ongeldig;
  • verklaart zij dat de SCC’s wél geldig zijn als een mechanisme (‘instrument’) voor de doorgifte van persoonsgegevens naar derde landen. Hierbij moeten wij toch direct even een kanttekening plaatsen. Het feit dat de SCC’s als mechanisme nog wel geldig zijn, betekent namelijk niet dat SCC’s de juiste oplossing zijn voor de doorgifte van persoonsgegevens aan Amerikaanse bedrijven.


Doorgifte van persoonsgegevens aan de VS

Of je nou wel iets of niets te verbergen hebt: privacy is een fundamenteel mensenrecht. Door de toegenomen digitalisering van de samenleving staat het privacyrecht momenteel volop in de schijnwerpers. In Europa heeft deze toegenomen belangstelling o.a. geleid tot de implementatie van de AVG (Algemene Verordening Gegevensbescherming). In Europa is het privacy-beschermingsniveau dus vrijwel voor alle lidstaten gelijk getrokken. De bescherming van persoonsgegevens buiten Europa is echter niet altijd hetzelfde geregeld. Daarom hebben we in Europa afgesproken dat persoonsgegevens alleen naar landen buiten de EU (derde landen zoals China, VS, .et.) mogen worden doorgegeven indien het desbetreffende land ‘voldoende bescherming’ biedt. De AVG biedt verschillende mechanismen waarmee een veilige doorgifte naar een derde land kan plaatsvinden:

  1. Binding Corporate Rules (BRC), voor de uitwisseling van persoonsgegevens binnen een multinational of internationale organisatie;
  1. Op basis van een adequaatheidsbesluit. Van deze landen heeft de Europese Commissie vastgesteld dat de privacy voldoende is gewaarborgd. Met de VS had de EU ook een adequaatheidsbesluit gesloten (het Privacy Shield);
  1. SCC’s: Standard contractual clauses;
  1. Ad hoc contractual clauses;
  1. Artikel 49 AVG.


In de Schrems zaak heeft het Hof het Privacy Shield (mechanisme 2) dus ongeldig verklaard. De SCC’s acht zij wel geldig als tool, maar het Hof maakt heel duidelijk dat gebruik van SSC’s alleen mag als exporter en importer kunnen verzekeren dat de persoonsgegevens veilig zijn in het derde land. Dit betekent dus o.a. dat partijen onderzoek moeten doen naar de invloed van lokale (surveillance-)wetgeving op het beschermingsniveau. Gezien het feit dat in het Schrems-II arrest duidelijk is geworden dat de Verenigde Staten niet het vereiste beschermingsniveau kunnen bieden vanwege de verregaande bevoegdheden van de Amerikaanse inlichtingen- en veiligheidsdiensten, lijkt dit ijdele hoop.



Aanbevelingen van de EDBP: eindelijk goed nieuws?

Door de uitspraak van het Hof in de Schrems-II zaak is de doorgifte van persoonsgegevens naar derde landen buitengewoon complex geworden. Doorgifte van persoonsgegevens naar landen zonder een adequaat beschermingsniveau - zoals de VS - is op een enkele uitzondering na, vrijwel onmogelijk geworden. En dat is in het licht van onze internationale digitale economie ‘enigszins’ problematisch te noemen (excuse our sarcasm). Velen onder ons hadden de hoop dat de EDBP in haar aanbevelingen de deur voor data-transfers buiten de EU weer op een kier zou zetten, maar het lijkt er vooralsnog op dat de deur dicht blijft. Hieronder bespreken we de 6 aanbevelingen. De aanbevelingen van de EDBP staan trouwens nog open voor commentaar! Wil jij jouw feedback geven? Kijk dan eens op de website van de EDPB.


#1 Breng je data-doorgiftes in kaart

Als eerste stap, raadt de EDPB je aan om al jouw doorgiftes in kaart te brengen. In de bewoordingen van de EDPB: “know your transfers”. Je moet dus nagaan naar welke landen buiten de EU je persoonsgegevens doorgeeft. Geen idee waar je moet beginnen? Kijk eens in je verwerkingsregister! Als het goed is heb je daarin al opgenomen aan welke derde landen je persoonsgegevens doorgeeft.

Let op: er is volgens de EDBP ook sprake van ‘doorgifte’ als een dienstverlener in een derde land toegang heeft tot de persoonsgegevens of de persoonsgegevens worden opgeslagen in een cloud buiten de EER.


#2 Check de  transfer-tool

Zoals gezegd, biedt de AVG biedt verschillende mechanismen (‘transfer-tools’) waarmee een veilige doorgifte naar een derde land kan plaatsvinden. Voor elke doorgifte buiten de EU, zal je moeten kijken van welk mechanisme je gebruik kan maken. Check altijd eerst of er een misschien een adequaatheidsbesluit is, op basis waarvan de doorgifte mag plaatsvinden. Er zijn op dit moment 12 landen: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Is er geen adequaatheidsbesluit aanwezig? Dan zal je moeten kijken of de doorgifte misschien kan plaatsvinden op basis van SCC’s, artikel 49 AVG, etc.


#3 Check de  lokale (surveillance-)wetgeving

Het is volgens de EDBP niet voldoende om een transfer-tool uit te kiezen op basis waarvan je jouw doorgiftes buiten de EU baseert. Je moet namelijk ook beoordelen of jouw transfer-tool daadwerkelijk effectief is in de bescherming van de persoonsgegevens. Dit betekent volgens de EDBP dat je moet nagaan of de lokale wet- en regelgeving in het derde land, afbreuk doet aan de bescherming van persoonsgegevens en dan moet je met name denken aan eventuele surveillance wetgeving. Buitenlandse surveillance wetgeving mag in ieder geval niet botsen met de volgende ‘European essential guarantees’:

  • De verwerking van persoonsgegevens moet gebaseerd zijn op duidelijke, nauwkeurige en toegankelijke regels;
  • De noodzakelijkheid en proportionaliteit van de verwerking moeten worden aangetoond;
  • Er moet een onafhankelijk toezichtsmechanisme bestaan;
  • Er moeten ‘effective remedies’ beschikbaar zijn voor het individu


#4  Neem extra maatregelen

Kwam je er bij stap 3 achter dat jouw transfer-tool niet effectief is (oftewel, de lokale wetgeving van het land biedt onvoldoende bescherming)? Dan mag de doorgifte alleen plaatsvinden als er extra maatregelen worden genomen en deze maatregelen ervoor zorgen dat de bescherming van de persoonsgegevens alsnog op het vereiste niveau terechtkomt. De EDBP geeft ons een (niet-uitputtende) lijst van mogelijke aanvullende maatregelen die kunnen worden genomen, zoals encryptie of pseudonamisering.

#5  Passende waarborgen

De vijfde stap houdt, kort gezegd, in dat de importer en exporter wel nog even alle formaliteiten moeten vervullen die de gekozen transfer-tool van hun eist.

#6  Evaluatie

Je dient eventuele relevante ontwikkelingen in het derde land in de gaten te houden. Houd dus in de gaten of het beschermingsniveau hetzelfde blijft en de doorgifte van data nog (steeds) kan plaatsvinden.

Onze kritiek

Alhoewel de uitgebreide handleiding van de EDBP zeker indrukwekkend te noemen is en er een aantal handige concrete praktijksituaties worden geschetst, lijkt het voor het europese ondernemers nog steeds vrijwel onmogelijk om legaal gebruik te maken van Amerikaanse dienstverleners.

In hoeverre kan je immers van ondernemers verwachten dat ze de lokale (surveillance-)wetgeving analyseren of hiervoor een team van juristen inschakelen? In hoeverre is het eigenlijk wenselijk dat het aan de private sector wordt overgelaten om dit soort complexe beoordelingen te doen.. Laten we niet vergeten dat surveillancewetgeving vaak buitengewoon complex is, moeilijk toegankelijk en ook zal moeten worden vertaald.

In het licht van het voorgaande, lijkt het er toch op dat europese bedrijven serieus moeten gaan overwegen om langzaam maar zeker over te stappen op europese dienstverleners.