AVG en internationaal dataverkeer
Veel bedrijven en organisaties in Europa zijn afhankelijk van Amerikaanse diensten die voor hen ook Europese persoonsgegevens verwerken. Denk bijvoorbeeld aan Facebook, Google of Microsoft. De Europese Unie probeert persoonsgegevens altijd goed te beschermen met wetgeving. Het recht op privacy moet Europese burgers een zekere mate van controle bieden over de verwerking van hun persoonsgegevens. Dat is een van de belangrijkste doelen van de Algemene Verordening Gegevensbescherming (ook wel “AVG” of op zijn Engels “GDPR”).
Dit betekent dat de AVG ook reguleert dat persoonsgegevens niet naar zogeheten “derde landen” – buiten de EER – mogen worden gezonden als deze geen gelijkwaardige bescherming bieden. In het kort komt het erop neer dat de AVG één van de volgende grondslagen vereist voor doorgifte:
- er is een adequaatheidsbesluit (artikel 45 AVG);
- er worden passende waarborgen geboden (artikel 46), zoals bindende bedrijfsvoorschriften (artikel 47) of standaardbepalingen, zoals opgesteld door de Europese Commissie; of
- er is sprake van een van de uitzonderingen van artikel 49 AVG).
Wel blijft het principe overeind dat de bescherming in zo’n derde land gelijkwaardig moet zijn aan de AVG (art. 44 AVG).
Snowden, Safe Harbor Principles en Schrems
De Verenigde Staten geldt als een “derde land” met niet-adequate bescherming van de persoonsgegevens. Sinds het lekken van Edward Snowden in 2013 zijn wij pas echt gaan beseffen hoeveel data Amerikaanse veiligheidsdiensten graaien. De Europese Commissie was echter steeds bereidwillig om de Verenigde Staten – onder voorwaarden – het keurmerk “adequaat” te verlenen. Dat gold voor de verwerkingen door Amerikaanse bedrijven die zich aansloten bij de toenmalige Safe Harbor Principles. Deze werden echter door het Europese Hof van Justitie ongeldig verklaard na een uitgebreide rechtszaak tussen de Oostenrijkse privacy-activist Maximilian Schrems en Facebook. Schrems startte deze zaak vlak na de onthullingen van Snowden.
Schrems tegen het EU-US Privacy Shield
Daarna werd het EU-US Privacy Shield opgetuigd en verleende de Europese Commissie een adequaatheidsbesluit voor gegevensstromen onder het Privacy Shield. Dit bood een belangrijke grondslag voor doorgifte van persoonsgegevens aan bedrijven uit de Verenigde Staten, maar men kon uiteraard al aanvoelen dat dat een wassen neus zou zijn. Redenen voor Max Schrems om wederom de degens te kruisen met Facebook. Dit leidde tot een belangrijk arrest van het Europese Hof van Justitie op 16 juli 2020. Centraal stond de vraag of het EU-US Privacy Shield wel een geldig mechanisme is voor doorgifte van gegevens? En ook de vraag of marktpartijen dan zouden kunnen terugvallen op het gebruik van de zogenaamde “standaardbepalingen” in hun contracten. Hierna in een notendop de beslissing van het Hof.
EU-US Privacy Shield ongeldig verklaard
Het Hof van Justitie verklaarde met zijn arrest het EU-US Privacy Shield ongeldig. Dit omdat het geen passende waarborgen biedt voor de bescherming van persoonsgegevens. Het Hof benadrukt dat betrokkenen altijd afdwingbare rechten en doeltreffende rechtsmiddelen moeten hebben. Deze middelen moeten rechten bieden die “in grote lijnen” overeenkomen met het Europese beschermingsniveau. De Amerikaanse staatsveiligheid, publieke belangen en strafvervolging gaan echter steeds voor in de Verenigde Staten en maken zo een te grote inbreuk op de privacy van Europese betrokkenen. Dit is met name zo omdat de verwerking van Europese persoonsgegevens door de Amerikaanse surveillance niet slechts beperkt is tot datgene dat strikt noodzakelijk is. Oftewel, de Amerikaanse instanties verwerken veel te veel Europese persoonsgegevens.
Standaardbepalingen (“SCC’s”) niet zondermeer passend
Het Hof laat de beslissing van de Europese Commissie over de standaardbepalingen (ook wel “Standard Contractual Clauses” of “SCC’s”) in stand. Het Hof benadrukt daar wel bij dat men hier niet blind op mag vertrouwen. Immers, deze gelden slechts in het contractuele kader tussen internationale partijen en binden niet de overheidsinstanties. Verwerkingsverantwoordelijken dienen er altijd zelf op toe te zien, mede gelezen in het licht van het Handvest van de grondrechten van de Europese Unie, dat de grondrechten van de betrokken altijd voldoende worden beschermd. Men mag dus niet varen op enkel de papieren werkelijkheid van de contracten. Verwerkingsverantwoordelijken moeten zelf nagaan in hoeverre er nadere maatregelen nodig zijn, dan wel in hoeverre zij de datastromen nog via de beoogde (bedrijven uit de) derde landen mogen laten plaatsvinden. De privacy-autoriteiten, zoals de Nederlandse Autoriteit Persoonsgegevens, dienen daarop toe te zien. Enkel berusten in een standaardbepaling met een Amerikaans bedrijf zal in ieder geval geen uitkomst bieden.
Hoe nu verder met doorgifte aan Amerikaanse bedrijven?
Schrems heeft weliswaar een lans gebroken voor de privacy van alle Europeanen, maar ook een ongemakkelijke waarheid blootgelegd: Amerikaanse surveillance staat op gespannen voet met verwerking van Europese persoonsgegevens. Als uw organisatie momenteel afhankelijk is van het EU-US Privacy Shield, dan dient zij zo spoedig mogelijk te onderzoeken of a) hetzij doorgifte naar niet-Amerikaanse alternatieven voor handen zijn dan wel b) er andere passende waarborgen kunnen zijn (bijvoorbeeld met binding corporate rules) voor doorgifte. Het zal nog wel voor enige hoofdbrekens zorgen om vast te stellen welke extra maatregelen men moet nemen om toch naar de VS te mogen doorgeven. De AVG biedt daarvoor helaas niet veel houvast en het besproken arrest wijst uit dat de standaardbepalingen niet zondermeer een oplossing zijn voor doorgifte aan Amerikaanse bedrijven. Uiteraard denkt NORD in dergelijke complexe kwesties graag met u mee.