flib 50 jaar
Gepubliceerd op: 16 november 2020

Post Schremms 2: De EDPB spreekt, maar is er meer duidelijk?

In een eerder artikel schreven we al over het Schremms 2 arrest van het Europese Hof van Justitie en de gevolgen van datatransfer met de VS op grond van Privacy Shield. Het heeft tot 11 november 2020 geduurd voordat de European Data Protection Board (EDPB) een aanbeveling (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Adopted on 10 November 2020) heeft gepubliceerd. Deze aanbeveling staat tot 30 november 2020 open voor consultatie.

Privacy Shield

De conclusie is dat het er zeker niet duidelijker op is geworden, behalve wanneer er een geldig adequatiebesluit ligt. Dat is echter in het geval van de VS niet zo en gezien het feit dat de Privacy Shield onder andere sneuvelde op grond van het karakter van Amerikaanse regelgeving, is het niet te verwachten dat er snel een opvolger van de Privacy Shield zal zijn.

In de overige gevallen kan er wel worden gezegd dat er sprake kan zijn van contractuele grondslagen op grond van artikel 46 AVG, maar ook dan kan men daar niet mee volstaan. Aanvullende maatregelen en diepgaand onderzoek naar wet- en regelgeving in het buitenland worden noodzakelijk. Hoe dat te waarborgen is dan de vraag.

Samenvatting AP

De Autoriteit Persoonsgegevens (AP) heeft op haar website een eigen samenvatting gegeven over de uitleg van de EDPB. De AP schrijft onder andere:

“Veel bedrijven slaan data op in de VS. Nu heeft de Europese rechter dit land specifiek benoemd als land waar persoonsgegevens niet goed beschermd zijn. De veiligheidsdiensten in de VS mogen alle persoonsgegevens op servers in de VS inzien en gebruiken. Ook kunnen deze diensten persoonsgegevens al onderscheppen vóórdat ze in de VS aankomen.

Het is daarom niet altijd mogelijk om te voorkomen dat de Amerikaanse veiligheidsdiensten inzage krijgen in persoonsgegevens die naar de VS worden doorgegeven. Bovendien is de rechtsbescherming door een onafhankelijke rechter onvoldoende geregeld in de VS, concludeerde het Europese Hof van Justitie.

Het is dus van groot belang dat de VS zorgt voor een betere bescherming van persoonsgegevens. En het is nu aan de Amerikaanse regering en de Europese Commissie om te onderzoeken of er vervanging kan komen voor het Privacy Shield.”

Bij gebrek aan een concrete oplossing kan deze publicatie van de AP eigenlijk niet anders worden gelezen als: zolang de EU en de VS geen oplossing vinden voor de onbelemmerde toegang tot persoonsgegevens onder de Amerikaanse veiligheidswetgeving, is in principe geen uitwisseling mogelijk, tenzij de persoonsgegevens geheel zijn beveiligd door middel van encryptie of anonimisering.

Hoe ziet de EDPB de oplossing?

De EDPB heeft een stappenplan geschetst, waarbij de verwerkingsverantwoordelijke een extra inventarisatie moet maken om te zien of er aanvullende maatregelen nodig zijn ten aanzien van de mogelijkheden onder artikel 46 AVG. Bedacht moet worden dat de EDPB weliswaar getriggerd is door Schremms 2, dat zag op de situatie in de VS, maar het stappenplan geldt voor alle derde landen.

De eerste stap betreft het inventariseren van alle verwerkingen buiten de EU, inclusief de eventuele verwerkingen door sub verwerkers van de partij in het buitenland waaraan de data worden overgedragen. Let daarbij op de verplichting tot dataminimalisatie. Pas ook op voor cloud verwerkingen die, afhankelijk van de jurisdictie van (een gedeelte van) de cloud, ook een datatransfer kan inhouden.

De tweede stap betreft het inventariseren van de grondslag van de datatransfer, zoals in artikel 46 AVG beschreven. Als gebruik wordt gemaakt van adequatiebesluiten, zoals Privacy Shield, geeft de EDPB aan dat ook die kunnen sneuvelen, zie de Schremms 2 zaak. De verwerkingsverantwoordelijke kan echter de adequatiebesluiten gebruiken, mits er wordt gemonitord of deze nog altijd geldig zijn wanneer de datatransfer plaatsvindt.

De derde stap is het evalueren of een grondslag van de datatransfer juridisch tot de mogelijkheden behoort. In artikel 46 AVG worden naast de adequatiebesluiten de volgende mogelijkheden gegeven:

  • standaard clausules inzake gegevensbescherming (SCC’s);
  • bindende bedrijfsregels (BCR’s);
  • gedragscodes;
  • certificeringmechanismen;
  • ad hoc contractuele clausules.

De EDPB stelt voorop dat welke mogelijkheid je ook gebruikt, er sprake moet zijn van een gelijkwaardig beschermingsniveau.

De vierde stap houdt in dat, wanneer er gebruik wordt gemaakt van dergelijke (overwegend contractuele) mogelijkheden, er aanvullende maatregelen nodig zijn om dat beschermingsniveau te waarborgen. In Annex 2 van de aanbeveling is een niet uitputtende opsomming opgenomen van technische aanvullingen, zoals encryptie en pseudonimisering.

Stap vijf houdt in dat ook het gebruik van SCC’s helaas nog niet betekent dat u er al bent. Als u twijfelt aan het niveau van bescherming in het ontvangende land en u dus van plan bent om naast SCC’s aanvullende maatregelen te nemen, hoeft u echter niet om toestemming te vragen aan de bevoegde Toezichthoudende Autoriteit om dit soort clausules of aanvullende bepalingen toe te voegen. Dit zolang de geïdentificeerde aanvullende maatregelen niet direct of indirect in tegenspraak zijn met de SCC’s en ervoor zorgen dat het door de AVG gegarandeerde beschermingsniveau niet is ondermijnd. De gegevensexporteur en -importeur moeten ervoor zorgen dat er geen aanvullende clausules kunnen zijn op enigerlei wijze worden opgevat als beperking van de rechten en plichten in de AVG. U moet dit kunnen aantonen, inclusief de ondubbelzinnigheid van alle clausules, volgens het verantwoordingsprincipe en uw verplichting om voor een voldoende niveau van gegevensbescherming te zorgen.

Het is daarom ook nodig dat wanneer deze mogelijkheden worden gebruikt, er wordt onderzocht (eventueel in samenwerking met de beoogde ontvanger van de data) in hoeverre wettelijke of andere omstandigheden maken dat de contractuele waarborgen niet kunnen worden uitgeoefend.

De toepasselijke juridische context hangt af van de omstandigheden van de overdracht, in het bijzonder:

  • Doeleinden waarvoor de gegevens worden overgedragen en verwerkt (bijv. Marketing, HR, opslag, IT-ondersteuning, klinische proeven);
  • Soorten entiteiten die bij de verwerking betrokken zijn (publiek / privaat; verantwoordelijke / verwerker);
  • Sector waarin de overdracht plaatsvindt (bijv. Adtech, telecommunicatie, financieel, enz.);
  • Categorieën van overgedragen persoonsgegevens (bijv. Persoonsgegevens met betrekking tot kinderen kunnen vallen binnen het toepassingsgebied van specifieke wetgeving in het derde land);
  • Of de gegevens worden opgeslagen in het derde land of dat er alleen op afstand toegang is tot gegevens die zijn opgeslagen binnen de EU / EER;
  • Formaat van de over te dragen gegevens (d.w.z. in platte tekst / gepseudonimiseerd of versleuteld);
  • Mogelijkheid dat de gegevens worden onderworpen aan verdere doorgifte van het derde land naar een ander derde land.

De zesde stap houdt in dat de ontwikkelingen in het derde land periodiek worden gemonitord, om er zeker van te zijn dat de eerdere inschatting van de situatie niet is veranderd.

Conclusie

De AVG stelt regels vast voor het verwerken van persoonsgegevens in de EER. Hoofdstuk V van de AVG regelt de overdracht van persoonsgegevens naar derde landen en legt de lat hoog: de doorgifte mag het beschermingsniveau van natuurlijke personen door de AVG niet teniet doen (artikel 44 AVG).

Het arrest van het HvJ EU C-311/18 (Schremms II) onderstreept de noodzaak om de continuïteit van het beschermingsniveau, dat wordt geboden onder de AVG, ook te waarborgen voor persoonsgegevens die naar een derde land zijn overgedragen. Om een ​​in wezen gelijkwaardig niveau van bescherming van uw gegevens te garanderen, moet u eerst en vooral weten welke datatransfers er plaatsvinden. U moet ook controleren of de gegevens die u overdraagt ​​toereikend, relevant en beperkt zijn tot wat nodig is in verband met de doeleinden waarvoor het wordt overgedragen aan en verwerkt in het derde land. U moet ook de overdracht tool identificeren waarop u vertrouwt voor uw overschrijvingen. Als de overdrachtstool geen adequaatheidsbesluit is, moet u van geval tot geval nagaan of de wet of praktijk van het derde land van bestemming de waarborgen ondermijnt die zijn opgenomen in de artikel 46 AVG-overdracht tool in het kader van uw datatransfers, ook in het geval van SCC’s. Waar de artikel 46 AVG-overdracht tool op zich geen in wezen gelijkwaardig beschermingsniveau geeft, kunnen aanvullende maatregelen het gat opvullen. Waar u geen effectieve aanvullende maatregelen kunt vinden of implementeren die ervoor zorgen dat de overgedragen persoonsgegevens een in wezen gelijkwaardig beschermingsniveau genieten, mag u niet beginnen met het doorgeven van persoonsgegevens aan het betrokken derde land op basis van de door u gekozen overdracht tool. Als u al overboekingen uitvoert, moet u de overdracht van persoonlijke gegevens staken.

Gezien de onderliggende reden voor het ongeldig verklaren van het Privacy Shield Adequatie besluit, gelegen in wetgeving in de VS, is het niet voor de hand liggend dat op korte termijn een opvolger van de Privacy Shield is te verwachten. Het is nu de vraag hoe de praktijk en het toezicht zal reageren op deze situatie. Deze Aanbeveling 01/20 is een eerste stap. Een specifiekere aanbeveling voor de VS zou welkom zijn.

Meer weten over dit onderwerp?

Neem contact op met een van onze specialisten of bel meteen op +31(0) 205 210 130.

Artikelen door Jop Fellinger

Stuur ons een bericht

Voor verdere vragen kunt u het formulier hieronder gebruiken. Wij nemen dan zo spoedig mogelijk contact met u op.