Het Europese Hof van Justitie maakte juli j.l. korte metten met het Privacy Shield. Dit is de set afspraken tussen Europa en Amerika die het mogelijk maken voor Europese bedrijven om persoonsgegevens op te slaan bij Amerikaanse bedrijven, zoals cloudproviders en advertentiemedia. De afspraken in het Shield zorgen er, aldus het Hof, nog altijd niet voor dat de privacy van Europese burgers afdoende wordt beschermd, voornamelijk omdat de Amerikaanse inlichtingendiensten tot op zekere hoogte nog vrij spel hebben. Wat betekent dit voor organisaties die met Amerikaanse bedrijven werken?
12 augustus 2020 • Nieuws
‘Dataopslag in de VS niet langer legaal’
Bedrijfsleven verdient snel duidelijkheid
De uitspraak is van grote invloed op het Nederlandse bedrijfsleven. Jitty van Doodewaerd, directeur bij privacy consultant DMCC licht toe. “Nederlandse bedrijven maken en masse gebruik van Amerikaanse dienstverleners. Zij zitten in de Google of Microsoft cloud, mailen met Mailchimp, gebruiken Sales Force voor hun CRM en Facebook en Twitter voor hun marketingacties. Nu het Privacy Shield ongeldig is verklaard, betekent dit dat Nederlandse bedrijven afzonderlijke afspraken moeten maken over gegevensbescherming met de dienstenleveranciers. Dit is in de relatie met grote Amerikaanse techbedrijven niet werkbaar en haalbaar voor het MKB. Europa moet echt met een betere oplossing komen. Bedrijven hebben het al niet makkelijk door de coronacrisis.”
Onvoldoende bescherming tegen surveillance praktijken
De Algemene Verordening Gegevensbescherming stelt dat je als bedrijf gebruik mag maken van dienstverleners buiten Europa als die een gelijkwaardige privacybescherming bieden. Dat kan je onder meer bereiken door een regeling te treffen met een land of een groep bedrijven. Het Privacy Shield was zo’n regeling, opgesteld door de Europese Commissie en de Amerikaanse autoriteiten. Als een Amerikaans bedrijf zich daaraan houdt, kan een Europees bedrijf het inschakelen om voor hen persoonsgegevens te verwerken of op te slaan. Maar, zo oordeelde het Hof nu in een langverwachte uitspraak: de regeling biedt geen gelijkwaardige bescherming. Allereerst omdat Amerikaanse inlichtingendiensten nog altijd teveel informatie van Europese burgers kunnen verzamelen. En ten tweede omdat burgers onvoldoende toegang hebben tot de rechtspraak.
“Furthermore, as regards both the surveillance programmes based on Section 702 of the FISA and those based on E.O. 12333…neither PPD-28 nor E.O. 12333 grants data subjects rights actionable in the courts against the US authorities, from which it follows that data subjects have no right to an effective remedy.”
Alternatieve oplossing ook bekritiseerd
Een alternatief voor het Shield is om met organisaties buiten de EU een standaard data privacy contract af te sluiten, waarin de organisatie garandeert bepaalde waarborgen te treffen. De Europese Commissie biedt op haar website deze zogenaamde “Standard Contractual Clauses” (SCC) aan. Echter zegt het Hof hiervan dat je er niet zomaar vanuit mag gaan dat door het sluiten van zo’n overeenkomst de data-uitwisseling veilig is. Je moet als organisatie dan eerst een analyse maken of de afspraken ook wel nageleefd kunnen worden als je kijkt naar het rechtssysteem van het land waarin de dienstverlener is gevestigd. En de vraag is maar zeer of dat haalbaar is.
Gegevensuitwisseling VS al langer onder vuur
Dit balletje is al lang geleden aan het rollen gebracht. Door Max Schrems, een Oostenrijkse privacy voorvechter, die in Ierland een rechtszaak aanspande tegen Facebook. Hij wilde na de onthullingen van Snowden niet dat Facebook zijn data opslaat op Amerikaanse servers. De Ierse rechtbank verwees de zaak naar het Hof van Justitie. De Europese Comissie en de Amerikaanse overheid zagen de bui al hangen en pasten een eerdere regeling voor gegevensuitwisseling tussen de de VS en EU aan. De ‘Safe Harbor’ regeling werd vervangen door het Privacy Shield. Maar nu oordeelt het Hof dus dat ook hier niet genoeg bescherming wordt geboden tegen inlichtingendiensten.
Hoe nu verder
De Europese privacytoezichthouders stellen zich op het standpunt dat gegevens niet langer verwerkt kunnen worden in de VS. Van Doodewaerd “Dan wordt het wel een theoretische discussie, want iedereen snapt dat je niet stel en sprong alle gegevensuitwisseling met de VS kan stopzetten.” De Europese Commissie heeft verklaard dat er binnenkort een gemoderniseerde versie van de SCC’s zal verschijnen. De European Data Protection Board (EDPB) bekijkt op dit moment nog wat de praktische gevolgen zijn van ‘Schrems II’ en komt op korte termijn met advies over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.
DMCC adviseert om te kijken naar de mogelijkheid om SCC’s te sluiten. Die zijn namelijk ook nu niet ongeldig. Als organisatie moet je alleen wel realistisch bekijken of gemaakte afspraken in het betreffende land nageleefd kunnen worden. Max Schrems zelf biedt daarvoor op zijn website een handige vragenlijst. Partijen als Microsoft en Amazon bieden ook de mogelijkheid om data op te slaan op servers in de EU, dat moet je doen als dat kan. Je kunt natuurlijk ook kiezen om je dataopslag te encrypten. Dan maakt het in wezen niet uit waar je gegevens opslaat. Daarnaast ontkom je er denk ik niet aan om bij de aanschaf van nieuwe IT-oplossingen of het inschakelen van nieuwe dienstverleners het vestigingsland als liabillity te zien.
DMCC houdt alle berichtgeving met betrekking tot de levensvatbaarheid van de SCC’s voor doorgifte naar de VS nauwlettend in de gaten.
Heeft u een vraag over dit artikel? Neem dan gerust contact met ons op.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
