Export persoonsgegevens buiten Europa weer op losse schroeven

Na het vaststellen van nieuwe Standard Contractual Clauses (SCC’s) door de Europese Commissie in juni 2021, leek het erop dat uitwisseling van persoonsgegevens met de VS weer mogelijk was. Maar een recente uitspraak van de Oostenrijkse privacytoezichthouder (de Datenschützbehörde, DSB) gooit roet in het eten. Het politieke spel tussen de EU en de VS over bescherming van privacy is daarmee weer terug op de agenda. Intussen is het voor bedrijven die gebruik maken van buitenlandse IT-diensten onduidelijk waar ze aan toe zijn. 

Hoe zat het ook alweer?

Dankzij de Avg gelden in heel Europa dezelfde regels voor het beschermen van persoonsgegevens. Verwerk je gegevens buiten de EU, dan moet je aanvullende afspraken maken. Om dat makkelijker te maken had de EU met de Verenigde Staten een verdrag afgesloten: Privacy Shield. Maar in 2020 deed het Hof van Justitie van de Europese Unie een uitspraak met grote gevolgen. De uitspraak staat bekend als de Schrems II-zaak, waarin privacy-activist Max Schrems (opnieuw) klaagde over doorgifte van zijn persoonsgegevens naar de Verenigde Staten.

Als gevolg van deze uitspraak is onder andere Privacy Shield per direct ongeldig verklaard. Dit legde een bom onder het internationale dataverkeer en de onzekerheid nam toe. Om uit de impasse te komen, die met de Schrems II-zaak is ontstaan, publiceerde de European Data Protection Board (EDPB) aanbevelingen. De EDPB is een onafhankelijk Europees orgaan dat bestaat uit vertegenwoordigers van nationale toezichthouders, zoals de Autoriteit Persoonsgegevens. Daarnaast kwam de Europese Commissie met de lang verwachtte update van de Standard Contractual Clauses (SCC).

Door SCC’s te sluiten met de partij buiten de EU (de VS of een ander ‘derde land’) waarmee persoonsgegevens worden uitgewisseld, zou deze uitwisseling weer rechtmatig mogelijk zijn. Het resultaat was natuurlijk dat iedereen als een bezetene SCC’s ging sluiten met buitenlandse partijen. Administratief een nachtmerrie, maar noodzakelijk om nog gegevens te kunnen uitwisselen.

Addertje onder het gras

De kern van de Schrems II-zaak is dat opsporingsdiensten in de VS toegang kunnen krijgen tot persoonsgegevens van Europeanen op servers in de VS. Maar in de VS hebben Europeanen niet dezelfde mogelijkheden om bij misstanden naar de Amerikaanse rechter te stappen. De rechtsbescherming van persoonsgegevens in de VS, is volgens Europa onvoldoende gegarandeerd. Het gesneuvelde Privacy Shield moest deze extra bescherming wel bieden, maar de hoogste Europese rechter vond dus van niet. Als oplossing gaf de EDPB aan dat je naast SCC’s ook een zogenaamd ‘Data Transfer Impact Assessment’ (DTIA) moet uitvoeren. Elk bedrijf dat gegevens exporteert naar een derde land moet in een DTIA onderzoeken of de privacy van betrokkenen voldoende is beschermd, gezien het rechtsstelsel, de relevante wet- en regelgeving en de mate van inmenging van de overheid in het land waarnaar de persoonsgegevens worden geëxporteerd.

Veel bedrijven zijn dan ook sinds Schrems II met juristen aan de slag gegaan om DTIA’s uit te voeren. Als uit een DTIA volgt dat de rechtsbescherming onvoldoende is, dan moet je passende aanvullende technische en organisatorische maatregelen nemen (zodat de gegevens wel voldoende beschermd zijn), of niet aan de uitwisseling beginnen. Hoe zo’n assessment precies moet worden uitgevoerd en welke aanvullende maatregelen dan afdoende zijn, is nog steeds niet duidelijk. Veel bedrijven staan dus voor een praktisch onmogelijke opgave.

Uitspraak Oostenrijkse toezichthouder inzake Google Analytics

Het bedrijf van meneer Schrems (Non Of Your Business) heeft na de Schrems II-uitspraak 101 klachten ingediend bij diverse toezichthouders in Europa. De Oostenrijkse DSB heeft in december op één van deze klachten beslist. De klacht ging over een lokale Oostenrijkse website die Google Analytics gebruikt. Bij dat gebruik worden er persoonsgegevens, namelijk IP-adressen en advertentie-ID’s naar de VS gestuurd om surfgedrag te analyseren. Ondanks dat de Oostenrijkse websitehouder en Google Analytics SCC’s sloten en aanvullende beveiligingsmaatregelen namen (waaronder encryptie van data in rust, pseudonimiseringsmaatregelen en een strenge interne procedure om na te gaan of gegevens aan opsporingsdiensten verstrekt moesten worden) is dit niet voldoende volgens de Oostenrijkse privacytoezichthouder (DSB). Volgens de DSB zijn deze maatregelen niet effectief genoeg om rechtsbescherming zeker te stellen. Hierdoor is de data export niet toegestaan.

De Nederlandse Autoriteit Persoonsgegevens (AP), waar ook twee klachten liggen, heeft inmiddels gewaarschuwd dat zij wel eens tot een vergelijkbare uitspraak zou kunnen komen. Ook de CNIL (Franse privacy toezichthouder) heeft op 10 februari 2022 een uitspraak gedaan, vergelijkbaar met de DSB.

Hoe nu verder?

Deze uitspraak zorgt opnieuw voor onduidelijkheid. Over de voorwaarden, maar ook welke technische en organisatorische maatregelen je moet nemen, zodat de export van persoonsgegevens naar de VS wel is toegestaan. De meest zekere optie op dit moment: zorg ervoor dat gegevens op servers in Europa staan en niet worden geëxporteerd. Of vraag als bedrijf aan ieder individu specifiek toestemming voor export van gegevens (je krijgt dan een soort ‘dubbele cookietoestemming’). Wellicht kunnen er ook nog aanvullende maatregelen getroffen worden die wel voldoende zijn voor de Europese toezichthouders. Maar welke dat zijn is niet duidelijk. Dit alles maakt vrij verkeer van gegevens er natuurlijk niet makkelijker op. Het beperkt Europese bedrijven in hun gebruik van buitenlandse diensten.

Voor een meer structurele oplossing voor álle bedrijven vragen wij als branchevereniging al sinds oktober 2020 aandacht voor dit probleem in de politiek. Uiteindelijk is het aan de EU en de VS om dit conflict van wetgeving op te lossen. Dat kan door nieuwe afspraken te maken over hoe we de persoonlijke data van elkaars burgers in de digitale wereld respecteren. Uiteraard houden we je via deze website op de hoogte van de ontwikkelingen.

Heb je vragen?

Elke dinsdag van 11.00 – 12.00 uur is er een digitaal juridisch spreekuur voor leden. Hierin beantwoordt onze jurist Henk Bethlehem vragen van leden.

Deel via:

Het laatste nieuws

Nieuwe Ethische Code AI gelanceerd: ‘Meer dan alleen principes’

In een tijd waarin AI de potentie heeft om maatschappelijke en economische vraagstukken op te lossen, is het van essentieel belang dat deze innovaties verantwoord plaatsvinden. De Ethische Code AI helpt hierbij.
Avg & privacy

Bijna 10.000 nieuwe ICT-talenten opgeleid via CA-ICT

Via opleidingsfonds CA-ICT steunen en organiseren wij projecten voor om- en bijscholing voor de ICT-sector. Er zijn mooie resultaten behaald met scholingsprojecten.
Opleiding & arbeidsmarkt

Het belang van innovatief aanbesteden: een stap naar een succesvolle digitale overheid

Op 28 maart organiseerde NLdigital in samenwerking met Digicampus een bijeenkomst die de urgentie en impact van innovatief aanbesteden benadrukte.
Samenwerken met de overheid

Rapport: ICT Markttoets Content Services Platform voor BZK

Eind februari organiseerde NLdigital een ICT Markttoets over een nieuw Content Services Platform (CSP). Dit in opdracht van het ministerie van BZK voor het programma Beter Samen Werken. Het rapport is vanaf nu beschikbaar.
Samenwerken met de overheid

Noodkreet bedrijfsleven en kennisorganisaties: sloop van innovatieklimaat dreigt

Het innovatie- en ondernemersklimaat staat onder druk in Nederland. Dit stelt een grote groep van bedrijven en kennisorganisaties. Zij uiten hun zorgen over de innovatiekracht en het verdienvermogen van Nederland in een brandbrief.
Politiek & wetgeving