EDPB richtlijnen data transfers VS

Veel organisaties exporteren persoonsgegevens naar de VS. Bijvoorbeeld door het gebruik van Amerikaanse Cloud providers, zoals: AWS, Microsoft, of Salesforce. Sinds het Scherms II arrest van juni vorig jaar is het exporteren van persoonsgegevens naar de VS nog maar zeer beperkt mogelijk. De European Data Protection Board (EDPB), de Europese toezichthouder, heeft op 21 juni 2021 guidelines uitgebracht over het exporteren van data. Deze guidelines vormen de basis van het toezicht op deze data transfers en zijn dus een belangrijke handleiding voor organisaties. Dit artikel bespreekt die guidelines.

De problematiek van Schrems II (inleiding)

Het Schrems II arrest werpt een enorme drempel op voor het exporteren van persoonsgegevens naar de VS. Dat is vervelend, op zijn zachtst gezegd, want de datastroom tussen de EU en de VS vormt een belangrijke bron van economische groei.

Volgens de AVG mogen persoonsgegevens alleen geëxporteerd worden naar landen buiten de EU als deze gegevens een gelijkwaardige bescherming krijgen als binnen de EU. Daarom is export alleen toegestaan onder strenge omstandigheden.

De kern van het probleem is dat de Amerikaanse overheid op grond van terrorismewetgeving (art. 702 FISA en EO12333) inzage kan vragen tot alle persoonsgegevens die zich in de VS bevinden. Volgens het Hof van Justitie voldoet art. 702 FISA niet aan de Europese standaarden, daarom biedt de Amerikaanse wetgeving géén gelijkwaardig beschermingsniveau en is Privacy Shield niet rechtsgeldig. Dat wil zeggen dat data exporteurs moeten vertrouwen op (contractuele) passende waarborgen (artikel 46 AVG).

Het HvJ gaat echter nog verder en benadrukt dat die contractuele waarborgen op zichzelf niet voorkomen dat de Amerikaanse overheid inzage krijgt op grond van artikel 702 FISA. Daarom mogen de passende waarborgen alleen gebruikt worden als aanvullende maatregelen genomen worden. Die aanvullende maatregelen hebben als kenmerk dat de data importeur in feite geen toegang meer heeft tot de persoonsgegevens, een voorbeeld is encryptie. Ze zijn daardoor maar beperkt toepasbaar.

[h2] De EDPB richtlijnen ten aanzien van data transfers.

In haar aanbeveling 01/2020 adviseert de EDPB de volgende zes stappen te doorlopen. Een organisatie dient deze stappen goed vast te leggen, zodat bij een controle aangetoond kan worden dat de juiste afwegingen gemaakt zijn.

  1. Breng de data transfers in kaart: Organisaties moeten eerst in kaart brengen welke data zij exporteren en naar welke partijen. Vooral in grote organisaties kan dat een complex proces zijn. Dit is ook een goed moment om alle transfers tegen het licht te houden. Zijn er bijvoorbeeld transfers die niet per se nodig zijn? Dan is het verstandig om alternatieven te implementeren.
  2. Breng de transfer mechanismes in kaart: De AVG biedt drie mechanismes om een data export op te baseren: (1) een adequaatheidsbesluit van de EC, (2) aanvullende maatregelen, en (3) uitzonderingen. De data exporteur dient te bepalen op welk mechanisme iedere data transfer gebaseerd wordt. Mogelijkheden 1 en 3 vallen in dit geval af omdat er geen adequaatheidsbesluit meer is voor de VS en omdat de uitzonderingen naar hun aard alleen sporadisch mogen worden toegepast. Dat betekent dat de exporteur één van de aanvullende maatregelen moet gebruiken, bijvoorbeeld standaardclausules (SCC).
  3. Beoordeel of de “passende waarborgen” effectief zijn in het licht van de omstandigheden van de transfer: De data exporteur moet voor iedere transfer beoordelen of de contractuele maatregelen in de praktijk effectief zijn. Lees hier meer over het beoordelingskader voor datatransfers naar de VS.
  4. Identificeer passende aanvullende maatregelen: Als uit stap 3 blijkt dat de passende waarborgen niet effectief zijn, dan moeten aanvullende maatregelen genomen worden. Deze aanvullende maatregelen zorgen er vaak voor dat de data niet meer toegankelijk of herleidbaar is voor de importeur. Bijvoorbeeld: pseudonimisatie, encryptie of three party computing. De EDPB stelt hoge eisen aan deze maatregelen. Bijvoorbeeld encryptie mag alleen worden toegepast als de importeur niet de toegang heeft tot de beveiligingssleutels. Het implementeren van deze maatregelen kan dus nogal wat voeten in aarde hebben.
  5. Implementeer de aanvullende maatregelen: Vervolgens dienen de juiste stappen doorlopen te worden om de aanvullende maatregelen te implementeren. Vergeet daarbij niet de nodige administratieve stappen te doorlopen, bijvoorbeeld door daadwerkelijk de standaardclausules overeen te komen.
  6. Evalueer de data transfers regelmatig: Het is belangrijk de data transfers regelmatig te evalueren en monitoren. Wetgeving en de toepassing daarvan kan namelijk veranderen. Ook kan het gebeuren dat de aanvullende maatregelen niet meer effectief zijn of dat deze niet meer correct toegepast worden.

Conclusie

De guidelines van de EDPB zijn geen formeel recht, maar scheppen wel enige duidelijkheid over de toepassing van de Schremms II doctrine in de praktijk. De nationale toezichthouders zijn doorgaans gebonden aan deze guidelines, dus wie ze volgt hoeft normaliter geen AVG boetes te verwachten.

Echter de EDPB werpt wel een hoge drempel op voor organisaties. De EDPB vraagt namelijk per data transfer een uitgebreide analyse van buitenlandse wet- en regelgeving. Een dergelijke analyse is doorgaans zeer kostbaar en is vaak juridisch risicovol.

Bovendien zijn de maatregelen die de EDPB voorstelt lang niet in alle gevallen toepasbaar. Bijvoorbeeld als de data importeur de persoonsgegevens moet verwerken dan is toegang noodzakelijk.

Daarnaast dienen data importeurs en -exporteurs de transfers voortdurend te monitoren, wat ook weer leidt tot een behoorlijke kostenpost.

Het is daarom vaak beter om data export naar de VS zoveel mogelijk te beperken.

Stephan Mulders is advocaat in Amsterdam, gespecialiseerd in Privacyrecht. Voor meer informatie over de EDPB richtlijn kunt u altijd met hem contact opnemen via s.mulders@vandiepen.com

Meer over internationale data transfers