Hof van Justitie Europese Unie zet streep door Privacy Shield

10/08/20

Bescherming persoonsgegevens EU-burgers

Privacy-activist Max Schrems overtuigde het Hof van Justitie van de EU om het Privacy Shield ongeldig te verklaren. Voor de tweede keer in vijf jaar (voorganger Safe Harbor werd in 2015 ongeldig verklaard) zien multinationals zich geconfronteerd met de ongeldigheid van een mechanisme dat juist was bedoeld om een zorgeloze uitwisseling van persoonsgegevens tussen de EU en de VS te garanderen. Totdat er mogelijk een nieuw mechanisme komt dat de persoonsgegevens van EU-burgers (beter) beschermt tegen inzage door Amerikaanse overheidsinstanties, betekent de uitspraak werk aan de winkel voor organisaties die gebruikmaken van Privacy Shield.

Motivering van de uitspraak

PwC’s dataprotectie-specialisten Bram van Tiel en Yvette van Gemerden bespreken het arrest van het Hof van Justitie van 16 juli 2020 en de gevolgen ervan voor bedrijven en organisaties. In het arrest maakt het Hof duidelijk dat persoonsgegevens die op basis van Privacy Shield worden doorgegeven aan de VS, niet de bescherming genieten die zij op grond van de AVG zouden moeten krijgen. Van Gemerden: ‘Persoonsgegevens die naar de VS worden doorgezonden, kunnen beschikbaar komen voor Amerikaanse inlichtingendiensten ten behoeve van hun surveillanceprogramma's. De EU-individuen op wie deze persoonsgegevens betrekking hebben, beschikken daarbij over onvoldoende juridische en feitelijke mogelijkheden om hun AVG-rechten in dergelijke situaties uit te oefenen.’

Van Tiel: ‘Daarnaast heeft het Hof aanvullende aandachtspunten benoemd wanneer gebruik wordt gemaakt van de zogenaamde standard contractual clauses (SCC’s), het meest gebruikte alternatief voor Privacy Shield. In tegenstelling tot Privacy Shield, blijft het gebruik van SCC’s wel toegestaan.’

Wat betekent de uitspraak voor organisaties?

Door de uitspraak van het Hof is het gebruik van Privacy Shield per direct niet meer toegestaan. Dit wordt ook benadrukt in de FAQ’s zoals die door de European Data Protection Board (EDPB) werden gepubliceerd. De EDPB is de organisatie waarin alle privacy toezichthouders van de 27 EU-lidstaten verenigd zijn. De EDPB bestudeert momenteel de uitspraak en heeft in een eerste reactie aangegeven in een later stadium duidelijkheid te verschaffen over de gevolgen. 

Van Tiel: ‘Het is raadzaam om de aanbevelingen en communicatie van de EDPB rondom de ongeldigverklaring van Privacy Shield te blijven volgen. Dit betekent niet dat organisaties een afwachtende houding kunnen aannemen. In ieder geval is toetsing en beoordeling van de (internationale) gegevensstromen binnen en namens organisaties van groot belang. Een goed startpunt is het opnieuw beoordelen en actualiseren van het verwerkingenregister. Indien een organisatie op dit moment gebruikmaakt van Privacy Shield of van plan was dit te gaan gebruiken, is echt actie vereist.’

Welke opties hebben organisaties nu?

Ongeveer 5.385 organisaties hebben zich gecertificeerd bij het Privacy Shield en daarnaast zijn er organisaties die weer gegevens aan deze organisaties doorsturen vanuit de EU naar de VS. Van Tiel: ‘Om deze doorzending of beschikbaarstelling van persoonsgegevens te legitimeren, zal een vervangend mechanisme gevonden moeten worden. Helaas zijn er niet veel alternatieven beschikbaar voor deze organisaties die hun trans-Atlantische gegevensstromen willen voortzetten in overeenstemming met de AVG.’

Hieronder volgen enkele (niet-limitatieve) opties:

Binding Corporate Rules (BCR)

Verken de mogelijkheden voor het toepassen van Binding Corporate Rules (BCR’s) voor gegevensoverdrachten binnen de groep van ondernemingen waar uw organisatie deel van uitmaakt.

Van Gemerden: ‘Als al in een eerder stadium voor Privacy Shield is gekozen in plaats van BCR’s, is het aan te raden om opnieuw de haalbaarheid van BCR’s te onderzoeken. Via deze weg kan gegevensverwerkingen binnen een groep van ondernemingen voldoen aan de AVG.’

‘Voor BCR's is de betrokkenheid en goedkeuring van de toezichthoudende autoriteit (in NL: Autoriteit Persoonsgegevens, red.) nodig en moet aan de specifieke vereisten van artikel 47 AVG worden voldaan om ervoor te zorgen dat BCR’s juridisch bindend zijn. Ik wil wel benadrukken dat deze optie niet kan worden gebruikt voor de doorgifte van gegevens aan derden buiten de Europese Economische Ruimte (EER).’

Datamigratie of cloudoplossing

Migreer naar een EU-hosting dienstverlener of configureer een cloudoplossing waarbij de data van EU-inwoners uitsluitend op Europese servers wordt verwerkt.

Deze optie betekent dat de verwerking van persoonsgegevens naar de EU wordt verplaatst en/of naar landen die door de Europese Commissie als adequaat worden beschouwd. Hiermee wordt het risico van inmenging vanuit rechtssystemen met een lagere mate van bescherming vrijwel volledig gereduceerd. Van Tiel: ‘Hoewel dit veruit de veiligste optie is vanuit het oogpunt van naleving van de AVG is deze optie kostbaar, omdat IT-diensten moeten worden gemigreerd. Daarbij komt de uitdaging dat isoleren van de gegevens in de EU ook inhoudt dat geen enkele rechtspersoon die aan andere dan EU-regelgeving onderworpen is, toegang mag hebben.’

Standard Contractual Clauses (SCC's)

Gebruik Standard Contractual Clauses (SCC's), voer aanvullende organisatorische en vooral technische maatregelen door en stap over naar nieuwe SCC’s zodra deze beschikbaar komen.

Het meest gebruikte mechanisme om internationale gegevensoverdrachten naar landen buiten de Europese Economische Ruimte (EER) te legitimeren, is van oudsher het gebruik van SCC's. De SCC's zijn standaard contractuele bepalingen die gericht zijn op de bescherming van persoonsgegevens die de EER verlaten. Zowel de verzender (of exporteur) van persoonsgegevens, als de ontvanger ervan buiten de EER (of importeur), ondertekenen deze contractuele bepalingen en verplichten zich ertoe de gegevens te beschermen conform AVG-vereisten.

‘Het Europese Hof van Justitie stelt in zijn arrest duidelijk dat het gebruik van SCC's als zodanig mogelijk blijft’, zegt Van Tiel. ‘Hoewel SCC's vaak worden aangehaald als "de contractuele route", benadrukt het Hof dat het niet voldoende is om deze simpelweg te ondertekenen en in een archief te leggen. Er is een beoordeling nodig van de privacy-risico's die kunnen ontstaan wanneer overheidsinstanties van het land waaraan de gegevens worden doorgegeven, denk bijvoorbeeld aan de inlichtingendiensten in de VS, toegang krijgen tot persoonsgegevens en hoe zulke risico's kunnen worden gemitigeerd.’

‘Om dit probleem te ondervangen kan mogelijk gebruik worden gemaakt van certificeringen of garanties waarin de geschiktheid van de maatregelen die de importerende partij heeft genomen zijn beoordeeld’, vult Van Gemerden aan. ‘Als het resultaat van deze beoordeling is dat het land van de importeur niet een aan de AVG gelijkwaardig beschermings-niveau biedt, kan het nodig zijn dat de exporteur aanvullende maatregelen moet nemen op de SCC’s. Als deze maatregelen niet haalbaar blijken in het licht van het verminderen van risico’s, mag de overdracht niet plaatsvinden.’

Het beperken van de privacyrisico’s moet per geval worden onderzocht door de organisatie die persoonsgegevens aan een organisatie in de VS doorzendt.

Een dergelijk onderzoek richt zich volgens Van Gemerden en Van Tiel ten minste op het volgende:

  • Identificatie van de risico's voor de (privacy)rechten en vrijheden van de Europese betrokkenen in het licht van de privacy wet- en regelgeving van het doelland (in dit geval de VS) en de maatregelen om deze rechten en vrijheden te beschermen;
  • Het is mogelijk dat de huidige SCC's door de Europese Commissie samen met de EDPB worden herzien/aangevuld. Het verdient aanbeveling de ontwikkelingen in dit verband te volgen;
  • Het opzetten van geavanceerde encryptietechnieken of andere technologieën om te voorkomen dat Amerikaanse inlichtingendiensten toegang kunnen krijgen. Dit zou bijvoorbeeld betekenen dat de encryptie in de EU plaatsvindt en dat de sleutel ook in de EU blijft; 
  • Daarnaast moet worden onderzocht of en in hoeverre de hiervoor genoemde waarborgen zoals encryptietechnieken of andere technologieën in strijd zijn met Amerikaans recht;
  • Beoordeling van de recent beschikbaar gekomen (AVG-)certificeringen om te bepalen of de (technische) eisen die in de contracten worden vastgelegd, voldoen aan de best practice requirements.

 

AVG-uitzonderingen (ultimum remedium)

Een andere mogelijkheid is het gebruikmaken van in de AVG genoemde specifieke uitzonderingen (zie de EDPB-richtlijnen). Van Tiel: ‘Overdracht van persoonsgegevens buiten de EER kan onder meer plaatsvinden op grond van expliciete toestemming van het individu of omdat de verwerking noodzakelijk is voor de uitvoering van een contract. De AVG ziet deze optie als last resort en het toepassen hiervan heeft dan ook niet de voorkeur van toezichthouders.’

Van Gemerden en Van Tiel benadrukken dat het in het kader van het AVG-verantwoordingsprincipe belangrijk is om alle stappen, beslissingen en argumenten correct te documenteren. Welke optie organisaties ook kiezen. Van Tiel: ‘Wij raden ten zeerste aan om de geïmplementeerde maatregelen periodiek te evalueren en te controleren op naleving.’

Creëer vertrouwen bij stakeholders

Om de geschiktheid van de (door een derde partij) getroffen maatregelen te beoordelen en om vertrouwen te creëren, kunnen organisaties gebruikmaken van certificeringen, zoals ISO 27701, 27001 en/of 27018 in het geval van leveranciers van clouddiensten. Van Gemerden: ‘Naast certificering kunnen organisaties ook gebruikmaken van assurance-rapporten van derden als gegevensbescherming en adequate waarborgen onderdeel vormen van dat assurance-rapport.’

Contact

Bram van Tiel

Bram van Tiel

Partner Cybersecurity & Dataprivacy, PwC Netherlands

Tel: +31 (0)62 243 29 62

Yvette van Gemerden

Yvette van Gemerden

Partner, PwC Netherlands

Tel: +31 (0)65 200 59 24

Volg ons