Kan je na Schrems II persoonsgegevens veilig aan derde landen doorgeven?

Auteur: Anne-Mieke Dumoulin-Siemens

Het Hof van Justitie van de Europese Unie (Hof) heeft op 16 juli 2020 in de zogeheten Schrems II zaak het EU-US Privacy Shield ongeldig verklaard. Dit betekent dat het EU-US Privacy Shield met directe ingang niet meer als basis kan dienen voor de doorgifte van persoonsgegevens aan de VS. Bij het doorgeven van persoonsgegevens aan landen buiten de Europese Economische Ruimte moeten de regels van de AVG worden gevolgd. Dit artikel geeft u antwoord op de vraag hoe u persoonsgegevens aan de VS en andere landen buiten de Europese Economische Ruimte (EER)op een veilige en rechtmatige manier kan doorgeven.  

Exit EU-US Privacy Shield

Volgens artikel 45 AVG kunnen persoonsgegevens worden doorgegeven aan landen buiten de EER (een derde land) wanneer de Europese Commissie heeft besloten dat dat derde land een passend niveau van gegevensbescherming biedt. Het EU-US Privacy Shield is gebaseerd op zo’n adequaatheidsbesluit van de Europese Commissie. Het Hof heeft nu in Schrems II het EU-US Privacy Shield ongeldig verklaard, omdat een passend beschermingsniveau in de VS ontbreekt. Er is surveillance regelgeving in de VS op basis waarvan Amerikaanse inlichtingen- en veiligheidsdiensten toegang hebben tot persoonsgegevens. En deze toegang is niet beperkt tot strikt noodzakelijke gegevens. Daarnaast heeft de burger in de VS op het gebied van gegevensbescherming geen afdwingbare rechten en heeft zij geen mogelijkheid om naar de rechter te stappen.

Gevolgen wegvallen EU-US Privacy Shield

De clash tussen de Europese privacy regelgeving en de Amerikaanse surveillance wetten heeft serieuze consequenties voor de vele bedrijven en organisatie die dagelijks op basis van het EU-US Privacy Shield persoonsgegevens doorgeven aan de VS. Zij handelen nu in strijd met de AVG. Schrems II biedt geen overgangsperiode: de doorgifte van persoonsgegevens aan de V.S. op basis van het EU-US Privacy Shield is per de datum van de uitspraak ongeldig verklaard. Schrems II betreft niet alleen toekomstige datastromen, maar ook persoonsgegevens die in het verleden zijn doorgegeven en nog steeds toegankelijk zijn voor de Amerikaanse overheidsinstanties. Nu valt niet te verwachten dat de Autoriteit Persoonsgegevens per direct handhavingstrajecten zal inzetten, maar de vraag wat een acceptabel alternatief mechanisme is voor doorgifte van persoonsgegevens dient bovenaan het actielijstje van uw bedrijf te staan. Hoe nu verder? 

Is er een alternatief mechanisme voor doorgifte van persoonsgegevens?

Het doorgeven van persoonsgegevens aan ontvangers in derde landen mag niet ten koste gaan van het beschermingsniveau waarvan natuurlijke personen binnen de EU door de AVG verzekerd zijn. Het ontvangende land moet een beschermingsniveau voor persoonsgegevens bieden dat vergelijkbaar is met het niveau dat binnen de EU wordt gewaarborgd. Kortom, doorgifte mag alleen plaatsvinden in volledige overeenstemming met de AVG.

De AVG faciliteert de doorgifte van persoonsgegevens op basis van een adequaatheidsbesluit (zoals het EU-US Privacy Shield). De Europese Commissie heeft voor 12 landen zo’n adequaatheidsbesluit afgegeven. Bij gebreke van een adequaatheidsbesluit kan doorgifte volgens artikel 46 AVG plaatsvinden op basis van (andere) passende waarborgen. De standaardbepalingen (standard contractual clauses of SCCs) zoals vastgesteld door de Europese Commissie bieden volgens de AVG passende waarborgen.

Als er geen adequaatheidsbesluit is genomen voor een bepaald land, moet het data exporterende bedrijf of instantie ervoor zorgen dat de doorgifte met passende waarborgen wordt geborgd en dient het ontvangende land de betrokkenen afdwingbare rechten en doeltreffende rechtsmiddelen te bieden..

Mogen SCCs na Schrems II nog worden gebruikt?

Artikel 46 AVG, dat de basis vormt voor het gebruik van SCCs, stelt expliciet twee eisen aan de doorgifte naar landen waarvoor geen adequaatheidsbesluit geldt. Ten eerste moet het exporterende bedrijf passende waarborgen bieden (door bijvoorbeeld SCCs) en ten tweede moeten betrokkenen in het derde land over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

De SCCs hebben in Schrems II de toets der kritiek doorstaan. Persoonsgegevens kunnen in beginsel nog steeds op basis van SCCs aan derde landen worden doorgegeven. Echter, het Hof benadrukt het belang van de eisen die de AVG in artikel 46 aan het gebruik van SCCs stelt. Voorafgaand aan iedere doorgifte van persoonsgegevens dient het verzendende bedrijf te controleren of het ontvangende land de betrokkenen afdwingbare rechten en doeltreffende rechtsmiddelen biedt.  

In het algemeen worden bedrijven opgezadeld met de schier onmogelijke opgave om –per land en per doorgifte– te beoordelen of ontvangende landen hun rechtsregels ten aanzien van de bescherming van betrokkenen en hun persoonsgegevens op orde hebben. Daarnaast is het niet duidelijk welke criteria bij de toetsing moeten worden gebruikt. Het Hof besteedt daaraan geen aandacht en artikel 46 AVG biedt ook geen nadere uitleg. We weten nu dat SSCs niet (meer) als mechanisme voor doorgifte van persoonsgegevens aan de VS kunnen worden gebruikt, omdat de Amerikaanse surveillance wetgeving daaraan in de weg staat. Bedrijven tasten echter in het duister hoe de toezichts- en veiligheidswetgeving in andere derde landen moet worden gewaardeerd.

De realiteit is, dat slechts weinig bedrijven over voldoende kennis en middelen beschikken om de gegevensbeschermingswetgeving en surveillance praktijken van derde landen op een goede manier te beoordelen. De realiteit is ook, dat de Europese instanties lijken te worstelen met dergelijke beoordelingen. Tot nu toe heeft de Europese Commissie voor slechts 12 landen een adequaatheidsbesluit afgegeven en het adequaatheidsbesluit voor de VS is nu tot twee keer toe ongeldig verklaard.

Hoe kunnen de SCCs concreet worden gebruikt?

De European Data Protection Board (EDPB) heeft aangekondigd met aanbevelingen te komen hoe moet worden omgegaan met de gevolgen van Schrems II. Zolang deze aanbevelingen er nog niet zijn, kunnen de volgende tips u wellicht helpen de doorgifte van persoonsgegevens op basis van SCCs aan derde landen gestalte te geven.

• Waarborg dat de data importeur alle bepalingen van de SCCs kan naleven.
• Voer een due diligence uit naar het soort gegevens dat wordt doorgegeven, de categorieën betrokkenen, de verwerkingsdoeleinden, de bewaartermijn, het type ontvanger en de sector waartoe de ontvanger behoort.
• Onderzoek in hoeverre het rechtssysteem van het derde land overheidsinstellingen toestaat de openbaarmaking van gegevens te eisen en of de betrokkenen (met inbegrip van buitenlandse betrokkenen) op de hoogte zijn van de openbaarmaking en in staat zijn rechtsmiddelen aan te wenden voor de rechter. Bepaal op welke categorie data de wetten van het derde land ingrijpen.
• Onderzoek in hoeverre de importeur aan deze wetten gebonden is en hoe waarschijnlijk het is dat de importeur de persoonsgegevens van de exporteur aan de autoriteiten in dat derde land bekendmaakt of bekend moet maken.
• Controleer of de gegevensimporteur een procedure heeft om de gegevensexporteur te informeren, indien een overheidsvraag zich uitstrekt tot de gegevens van de gegevensexporteur en de mogelijkheid biedt om zich tegen de productie te verzetten.
• Documenteren voor het geval de positie ervan ooit in twijfel wordt getrokken.
• Ga na of de risico’s die de nationale surveillance wetgeving meebrengt, kunnen worden gecompenseerd door aanvullende waarborgen met de data importeur af te spreken. Daarbij kunt u denken aan afspraken over het toepassen van een goede encryptie, het opschorten van de doorgifte van gegevens en het verwijderen van gegevens door de data importeur.
• Zorg ervoor dat u uw keuzes en afspraken documenteert. De AVG eist van u dat u kunt aantonen dat u de AVG naleeft.

Kunnen Binding Corporate Rules worden gebruikt?

Binding Corporate Rules (BSRs) zijn, naast SCCs een mechanisme voor de doorgifte van persoonsgegevens aan derde landen. BCRs betreffen regels die specifiek zijn opgesteld voor doorgifte van persoonsgegevens binnen een internationaal concern. Eenmaal opgesteld en goedgekeurd, kunnen BCRs alleen worden gebruikt voor transport van persoonsgegevens binnen het concern. Voor doorgifte buiten het concern moet een ander mechanisme worden gebruikt.

BCRs waren geen onderwerp van debat in Schrems II. Echter, als de rechtmatigheid van doorgifte van persoonsgegevens op grond van SCCs  ter discussie staat, omdat de regelgeving in het ontvangende derde land niet aan de Europese waarborgen voldoet, dan kan men zich afvragen of doorgifte aan datzelfde land op basis van BCRs wel geoorloofd is.

BCRs worden opgesteld door het betreffende concern en moeten worden goedgekeurd door de bevoegde toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens. SCCs zijn een product van de Europese Commissie. In de praktijk is het belangrijkste verschil dat de last van de beoordeling van de toereikendheid van de beschermingsmaatregelen bij de Autoriteit Persoonsgegevens ligt als een onderneming gebruik maakt van BCR's, terwijl de gebruiker van SCCs (zie Schrems II) zijn eigen toereikendheidsbeoordeling moet maken en verantwoordelijk is als hij zich vergist. Daarom  is het de vraag hoe toezichthoudende autoriteiten binnen de EU omgaan met lopende aanvragen voor de goedkeuring van BCRs. Goedkeuring van BCRs impliceert dat de betreffende toezichthoudende autoriteit van mening is dat in het ontvangende derde land passende waarborgen aanwezig zijn. Dat kan, gezien Schrems II gevoelig liggen.
 

Kunnen de uitzonderingen van artikel 49 AVG worden gebruikt?

Volgens het Hof in Schrems II creëert de ongeldigverklaring van het EU-US Privacy Shield geen vacuüm, omdat bedrijven een beroep kunnen doen op een van de afwijkingen voor specifieke situaties (artikel 49 AVG). De mogelijkheden om doorgifte te rechtvaardigen via de uitzonderingen van artikel 49 AVG zijn echter beperkt. De EDPB heeft uitgesproken (Richtsnoeren 2/2018) dat deze uitzonderingen limitatief moeten worden geïnterpreteerd en dat de uitzondering niet tot regel bestempeld mag worden. Daarnaast brengt het gebruik van artikel 49 AVG een grote administratieve last mee voor het bedrijf. De data exporteur dient te verantwoorden waarom ieder van de mechanismen voor de betreffende doorgifte niet kunnen worden gebruikt en waarom de betreffende uitzondering in het specifieke geval geschikt is als basis voor doorgifte. De optie van artikel 49 AVG oogt daarmee niet zo aantrekkelijk.

Tot slot

Schrems II toont aan dat de toepassing en naleving van de strikte Europese privacy regels voor doorgifte van persoonsgegevens in het internationale verkeer op problemen stuit. De EDPB heeft een taskforce ingericht die hopelijk op korte termijn met aanbevelingen gaat komen hoe om te gaan met de gevolgen van de Schrems II beslissing.

Wilt u meer weten over dit onderwerp? Neem dan contact op met onze Privacy Desk.