Maakt u gebruik van Amerikaanse clouddiensten (bijv. AWS, Office 365, Salesforce, Google Worksuite of Google Analytics)? Dan exporteert u waarschijnlijk persoonsgegevens naar de VS. De AVG stelt echter zeer strenge eisen aan het exporteren van data. Die eisen zijn zo streng dat data export naar de VS voor veel organisaties feitelijk onhaalbaar is. Nu handhaving strenger wordt, is dit een heikel punt voor veel organisaties. Vooral bij innovatieve organisaties, of als er veel bijzondere persoonsgegevens worden verwerkt. In dit artikel vertel ik daar meer over.
Data export onder de AVG
Het exporteren van persoonsgegevens betekent dat een organisatie binnen de EU persoonsgegevens overdraagt naar een partij in een land buiten de EU (derde landen). Een overdracht vereist een actieve (overdrachts-) handeling. Er is dus geen overdracht als er gegevens op internet worden gepubliceerd, die wereldwijd beschikbaar zijn. Het versturen van een e-mail met persoonsgegevens naar een land buiten de EU is dan weer wel een overdracht van persoonsgegevens.
Uitgangspunt van de AVG is dat de exporteur ervoor moet zorgen dat persoonsgegevens in de derde landen gelijkwaardig beschermd worden als binnen de EU. Dat leidt vaak tot problemen omdat in de derde landen vaak andere wetgeving geldt.
De AVG kent drie methodes die gebruikt kunnen worden om data naar een derde land door te geven:
- Adequaatheidsbesluiten (art. 45 AVG): De Europese Commissie (EC) kan besluiten dat een derde land (of bepaalde sectoren in dat land) een passend beschermingsniveau waarborgt. In dat geval mogen persoonsgegevens naar dat land geëxporteerd worden en hoeven geen verdere maatregelen genomen te worden. Op dit moment zijn adequaatheidsbesluiten genomen voor de volgende landen: Andorra, Argentinië, Canada (commerciële organisaties), Faeröer eilanden, Guernsey, Israël, Eiland Man, Japan, Jersey, Nieuw Zeeland, Zwitserland, Verenigd Koninkrijk en Uruguay.
- Passende waarborgen (art. 46 AVG): persoonsgegevens kunnen ook geëxporteerd worden op grond van bepaalde (semi-)contractuele afspraken. Bijvoorbeeld standaardclausules (SCC) die zijn goedgekeurd door de EC, gedragscodes of bindende bedrijfsvoorschriften. Kenmerk is dat de data exporteur en – importeur bepaalde afspraken maken over de bescherming en verwerking van persoonsgegevens in een derde land. Belangrijk is dat de afspraken ook daadwerkelijk effectief moeten zijn. Als bijvoorbeeld wetgeving in het derde land het niet mogelijk maakt om de afspraken na te komen, dan moeten aanvullende maatregelen genomen worden.
- Uitzonderingen (art. 49 AVG): Er zijn enkele specifieke uitzonderingssituaties, waarin persoonsgegevens geëxporteerd kunnen worden. Deze uitzonderingen zien vrijwel steeds op de incidentele export van persoonsgegevens. Ze kunnen dus niet gebruikt worden als regelmatig persoonsgegevens worden doorgegeven naar derde landen. Bovendien zijn uitzonderingen naar hun aard erg specifiek en worden zij restrictief uitgelegd. In de meeste situaties kan dus geen gebruik worden gemaakt van deze uitzonderingen.
De methodes moeten in deze volgorde gebruikt worden. Dus als er een adequaatheidsbesluit is, dan mag geen gebruik worden gemaakt van passende waarborgen. Als er passende waarborgen gebruikt kunnen worden, dan mag geen beroep worden gedaan op de uitzonderingen. Het transparantiebeginsel vereist bovendien dat de exporteur op voorhand vastlegt welke methode hij gebruikt voor de export van data en waarom juist die methode.
Schrems I en Schrems II
De Schrems arresten spelen een centrale rol in de export van persoonsgegevens. Max Schrems is een Oostenrijkse privacy activist, die in twee procedures met succes vraagtekens stelt bij data export naar de VS. (Schrems I) (Schrems II)
Volgens het Hof van Justitie (HvJ), de hoogste EU rechtbank, biedt de VS namelijk geen gelijkwaardig beschermingsniveau. Daarom kan de EC ook geen adequaatheidsbesluit uitvaardigen. Het pijnpunt zit erin dat de Amerikaanse overheid op grond van artikel 702 FISA en EO 12333, anti-terrorismewetgeving, toegang kan eisen tot alle data die zich in de VS bevindt. De betreffende wetgeving omvat volgens het HvJ te weinig waarborgen, zoals proportionaliteit en bezwaarmogelijkheden, waardoor persoonsgegevens in de VS dus geen gelijkwaardig beschermingsniveau genieten. Het HvJ vernietigt daarom in Schrems II het nieuwste adequaatheidsbesluit (privacyshield).
Omdat er geen adequaatheidsbesluit is, dienen data exporteurs terug te vallen op passende waarborgen, meestal zijn dat standaardclausules. Echter het HvJ merkt in Schrems II ook op dat passende waarborgen alleen gebruikt mogen worden als daarmee een gelijkwaardig beschermingsniveau kan worden gegarandeerd. Contracten bieden op zichzelf geen bescherming tegen overheidsingrijpen (bijvoorbeeld op grond van art. 702 FISA). Als de standaardclausules op zichzelf onvoldoende bescherming bieden, dan moet de data exporteur aanvullende maatregelen nemen om de persoonsgegevens te beschermen. Bijvoorbeeld door encryptie of pseudonimisatie. Dat soort aanvullende maatregelen zijn echter vaak alleen toepasbaar bij data-in-rest of data-in-transit, maar niet bij data-in-use. Dus voor veel toepassingen kunnen geen aanvullende maatregelen genomen worden.
De Schrems II uitspraak heeft grote gevolgen voor de export van data naar de VS. Er is namelijk geen adequaatheidsbesluit meer, én standaardcontracten kunnen alleen gebruikt worden als daarmee in de praktijk voldoende bescherming wordt geboden. Dat betekent dat export van persoonsgegevens vaak niet meer mogelijk is.
De EU en de VS zijn sinds de Schrems II uitspraak in juli 2020 druk in onderhandeling over een nieuw privacyshield. Die onderhandelingen lijken echter niet zo te vlotten. Het is maar de vraag of een overeenkomst wel mogelijk is, aangezien de bestaande wetgeving op een aantal punten loodrecht tegenover elkaar staat en er weinig politieke wil lijkt om die wetgeving aan te passen.
Gelukkig bieden steeds meer Cloud providers aan data uitsluitend in Europa te verwerken. Bijvoorbeeld Microsoft, AWS, en Google. Echter, dat geldt dan weer niet voor alle diensten. Dus goed opletten blijft belangrijk.
Conclusie
Op dit moment wordt er nog beperkt gehandhaafd op de export van data. Daar zal waarschijnlijk verandering in komen na de publicatie van de nieuwe richtlijnen van de EDPB. Bijvoorbeeld de Duitse toezichthouders hebben al een standaardformulier opgesteld, waarmee zij organisaties vragen of zij data exporteren en, zo ja, welke waarborgen zij gebruiken. Daarnaast hebben enkele toezichthouders al boetes opgelegd. Bovendien bestaat het risico van private handhaving en massaclaims.
Stephan Mulders is advocaat in Amsterdam, gespecialiseerd in privacyrecht. Voor meer informatie over internationale datatransfers kunt u altijd met hem contact opnemen via [email protected]
