Vorig jaar gooide het Hof van Justitie in Schrems II de deur vrijwel dicht voor data doorgiftes naar de VS. Dat is een groot probleem omdat veel organisaties gebruik maken van Amerikaanse cloud dienstverleners (Google Workspace, AWS, Teams, etc.) en data exporteren naar de VS. In juni 2021 publiceerde de Europese Commissie (EC) nieuwe standaard contractual clausules (SCC), waarmee de deur weer een beetje open gezet wordt. Voor organisaties is dit een goed moment om hun internationale data doorgiftes tegen het licht te houden. Vooral omdat er steeds meer gehandhaafd wordt. In dit artikel ga ik in op de nieuwe standaard contractuele clausules als mogelijkheid om data te exporteren naar de VS. Tot slot bespreek ik nog even de actuele situatie met betrekking tot handhaving.
Data export en de rol van standaardclausules
Op 16 juli 2020 vernietigt het Hof van Justitie (HvJ), de hoogste Europese rechter, het adequaatheidsbesluit Privacy Shield. Dat is een historisch moment, want tot dat moment konden persoonsgegevens vrijelijk naar de VS worden geëxporteerd. Het HvJ zet daardoor echter in de beroemde Schrems II zaak vakkundig een streep. Dat betekent dat data exporteurs moeten terugvallen op zogenaamde “passende waarborgen”, meestal zijn dat standaardclausules, die zijn goedgekeurd door de Europese commissie. Zie ook dit blog over data transfers in het algemeen.
Nieuwe standard contractual clauses (SCC)
Naar aanleiding van Schrems II publiceert de EC op 27 juni 2021 nieuwe SCC. Er geldt een overgangsperiode van drie maanden voor nieuwe data transfers en anderhalf jaar voor bestaande data transfers. Dat wil zeggen dat de oude SCC vanaf 27 september 2021 niet meer gebruikt mogen worden voor nieuwe data transfer overeenkomsten. Bestaande data transfer overeenkomsten mogen nog tot 22 december 2022 gebaseerd zijn op de oude SCC, mits de overliggende verwerkingshandelingen niet veranderen én de veiligheid van de persoonsgegevens gewaarborgd blijft. Voor het aangaan van nieuwe standaardclausules is instemming nodig van beide partijen, daar kan de nodige tijd overheen gaan. Vooral organisaties die veelvuldig gebruik maken van deze SCC zullen dus op tijd moeten beginnen met de overgang naar de nieuwe clausules.
Beperkingen van de SCC
De nieuwe standaardclausules komen met de belangrijke beperking dat de data exporteur moet nagaan of de standaardclausules voldoende bescherming bieden tegen, onder meer, inzage door de Amerikaanse overheid. Dat betekent dat de data exporteur een analyse moet maken of er redenen zijn om aan te nemen dat de Amerikaanse overheid in de praktijk inzage zal vragen in de betreffende data. Voor het ene type data (bijvoorbeeld betaalgegevens) is dat namelijk waarschijnlijker dan voor andere soorten data. Als dat zo is, dan moet de data exporteur aanvullende maatregelen treffen, zoals: encryptie, three party computing of pseudonimisering. De EDPB, de Europese datawaakhond, heeft hier al een uitgebreide handleiding over geschreven.
Een dergelijke analyse kan zeer kostbaar zijn voor (de wat kleinere) organisaties. Er moet namelijk per datastroom een zorgvuldige afweging gemaakt worden van het risico dat de Amerikaanse overheid toegang zal verschaffen op grond van artikel 702 FISA. Het is ook lastig om deze analyse goed te maken. Immers, zelfs de Europese Commissie heeft tot twee keer toe op dit punt een verkeerde inschatting gemaakt (namelijk Safe Harbor en Privacy Shield). Hoe kan een onderneming dan wél de juiste inschatting maken?
Het nemen van aanvullende maatregelen is ook niet altijd praktisch haalbaar. Die maatregelen kunnen bijvoorbeeld bestaan uit encryptie of pseudonimisering. Kenmerkend voor al deze aanvullende maatregelen is dat ze ervoor zorgen dat de data importeur in feite geen toegang heeft tot de data. Dat betekent ook dat de data importeur de data niet kan bewerken. Daarom kunnen de aanvullende maatregelen niet worden toegepast als de importeur de data moet kunnen bewerken (data-in-use).
Daarnaast vereisen de standaardclausules dat de datadoorgifte onmiddellijk beëindigd wordt als er indicaties zijn om aan te nemen dat er mogelijk toch een risico is dat de data wordt ingezien door de Amerikaanse overheid. Die indicaties zijn er als er een concreet verzoek tot inzage wordt gedaan, maar ook als blijkt dat er in vergelijkbare gevallen inzage wordt gevraagd. Dat betekent dat zowel de data exporteur als de importeur voortdurend dat risico moet monitoren én dat de datatransfer op ieder moment beëindigd kan worden, met als gevolg dat de bedrijfsprocessen moeten worden aangepast.
Alternatieven voor standaardclausules?
Vanwege deze beperkingen zijn standaardclausules in lang niet alle situaties toepasbaar. Er zijn echter ook niet veel alternatieven. Immers, het HvJ heeft het laatste adequaatheidsbesluit vernietigd en het lijkt er niet op dat er snel een nieuw besluit komt. Als dat nieuwe besluit er komt is het maar de vraag of dat juridisch stand houdt.
Het is daarom verstandig om data transfers zoveel mogelijk te voorkomen. Veel Cloud providers bieden al de mogelijkheid om data in de EU op te slaan (bijvoorbeeld Microsoft). Mocht de huidige dienstverlener niet bereid zijn data te verwerken in de EU, dan dient zoveel mogelijk een alternatieve provider gezocht te worden.
Handhaving internationale datatransfers
Het Schrems II arrest is inmiddels vijftien maanden oud. Aanvankelijk bleef het stil qua handhaving. Echter, de laatste tijd lijken de toezichthouders op stoom te komen en vaker een AVG boete uit te delen. Bijvoorbeeld op 11 maart 2021 legt de Spaanse toezichthouder een boete op van € 8.150.000 aan Vodafone voor onder meer overtreding van transfervoorschriften. in september 2021 deelt de Noorse toezichthouder een boete uit van € 496.000,- vanwege het niet naleven van de voorschriften rondom transfers. Twee dagen later legt de Italiaanse toezichthouder een boete op van € 200.000 omdat een universiteit een Amerikaanse proctering tool gebruikt. De Autoriteit Persoonsgegevens heeft nog geen boetes opgelegd met betrekking tot dit onderwerp. Dat kan echter niet lang uitblijven gezien deze ontwikkelingen.
Stephan Mulders is advocaat in Amsterdam, gespecialiseerd in Privacy law. Voor meer informatie over het gebruik van standaard contractuele clausules kunt u altijd met hem contact opnemen via [email protected]
