De EDPB heeft uitgebreide richtlijnen opgesteld met een zes stappen plan om data transfers te beoordelen. Stap drie is het meest risicovol. De data exporteur moet namelijk een uitgebreide risicoanalyse maken of de data in het buitenland wel veilig is. In deze blog ga ik in op het beoordelingskader van de EDPB, het Amerikaanse surveillance systeem én middelen die gebruikt kunnen worden om die analyse te maken.
Art. 702 FISA en EO 12333: het Amerikaanse surveillance system
In Schrems II bepaalt het Hof van Justitie (HvJ), de hoogste Amerikaanse rechtbank dat het Amerikaanse rechtssysteem geen gelijkwaardige bescherming biedt voor persoonsgegevens. Het probleem is de Amerikaanse Antiterrorisme wetgeving, op grond waarvan de Amerikaanse overheid grote hoeveelheden gegevens mag inzien. Om dat beter te kunnen begrijpen is het nodig om kort in te gaan op de betreffende wetgeving.
Volgens artikel 702 FISA mag de Amerikaanse overheid de communicatie onderscheppen van bepaalde personen die waarschijnlijk niet in de VS verblijven en ook geen Amerikaans staatsburger zijn. Artikel 702 FISA ziet tevens op communicatie tussen een buitenlands persoon en een “VS persoon”. Om de informatie te verzamelen gebruikt de Amerikaanse overheid zogenaamde “selectors”, zoals een e-mailadres of telefoonnummer. Let wel, na de Snowden onthullingen mag nog enkel communicatie worden opgevraagd die daadwerkelijk is verzonden of ontvangen door een bepaald e-mailadres of telefoonnummer.
De Amerikaanse intelligentiediensten mogen alleen “foreign intelligence information” opvragen. Dat wil zeggen, informatie over: aanvallen op de VS, spionage, sabotage, internationale terrorisme, massavernietigingswapens en informatie met betrekking tot een ander land dat ziet op de buitenlandse belangen van de VS. Met name die laatste categorie is zeer ruim. Het tweede probleem is dat de Amerikaanse overheid waarschijnlijk gebruik maakt van AI-systemen. Het nadeel van AI is dat deze systemen altijd ruis bevatten. Daardoor worden vrijwel onvermijdelijk ook gegevens opgeslagen die niet relevant zijn voor de overheid.
Artikel 702 FISA vereist geen gerechtelijke toetsing vooraf. In plaats daarvan wordt de Amerikaanse overheid een keer per jaar geaudit door een commissie van onafhankelijke rechters. Bij die audit wordt gekeken naar de gebeurtenissen in het jaar ervoor én of de huidige procedures voldoen aan de Amerikaanse wetgeving. Informatie over Amerikaanse burgers mag daarentegen alleen worden opgevraagd na een onafhankelijke gerechtelijke toetsing.
Op grond van Executive Order (EO) 12333 scant de Amerikaanse overheid vrijwel alle (digitale) communicatie automatisch om informatie te verkrijgen. Deze informatie kan bewaard worden en vervolgens met de hand worden onderzocht. President Barack Obama heeft deze mogelijkheid aan banden gelegd in Presidential Policy Directive (PPD) 28. PPD 28 vereist bijvoorbeeld dat personen met waardigheid worden behandeld en bepaalt dat de bulk collectie enkel gebruikt mag worden met als doel om informatie te verkrijgen over: de plannen van buitenlandse overheden, spionage, sabotage, terrorisme, cybersecurity, massavernietigingswapen en internationale criminaliteit.
Het EDPB framework
Volgens de EDPB aanbevelingen 01/2020 moet een data exporteur per transfer analyseren of de transfer tool onder de gegeven omstandigheden effectief zijn. Daarvoor moet gekeken worden of de wetgeving en de praktijk de correcte werking van de transfer tools in de weg staan.
Voor een transfer naar de VS zullen de meeste organisaties gebruik maken van standaard contractuele clausules. Volgens het HvJ zijn die contractuele bepalingen in het algemeen niet effectief om betrokkenen te beschermen tegen surveillance vanuit de Amerikaanse overheid.
Er dient gekeken te worden naar de specifieke omstandigheden van iedere transfer. Bijvoorbeeld een Europees bedrijf met alleen Amerikaanse werknemers kan veilig personeelsgegevens van die werknemers naar de VS exporteren, omdat 702 FISA in beginsel geen data omvat van Amerikaanse burgers. Buiten dit soort uitzonderingsgevallen is het de vraag of er veel situaties zijn waarin de formele wetgeving van de VS inmenging van de Amerikaanse overheid voorkomt.
Vervolgens moet ook worden onderzocht of er redenen zijn om aan te nemen dat de persoonsgegevens in de praktijk zullen worden onderworpen aan surveillance die niet voldoet aan de EU wetgeving. Daarbij kan onder meer gekeken worden naar: het doel van de verwerkingen, het soort bedrijven dat betrokken is, categorieën van persoonsgegevens, etc. De analyse moet alle partijen omvatten die betrokken zijn bij de data transfer, hoe meer partijen betrokken zijn, hoe ingewikkelder de analyse wordt.
De data exporteur mag gebruik maken van verschillende bronnen. Ten eerste natuurlijk formele wetgeving en richtlijnen. Om de praktijk te beoordelen kan afgegaan worden op bronnen die: relevant, objectief, betrouwbaar, herleidbaar en toegankelijk zijn. Zoals: officiële documenten, transparantierapporten én de ervaringen van de data importeur. De EDPB merkt uitdrukkelijk op dat resultaten uit het verleden op zichzelf onvoldoende zijn om aan te nemen dat de data in de toekomst veilig is.
Deze beoordeling moet zorgvuldig worden uitgevoerd en zorgvuldig worden gedocumenteerd. Volgens de EDPB is het een binaire test. De uitkomst is ofwel dat de data voldoende beschermd is, ofwel dat dit niet het geval is. In dat laatste geval moet de transfer worden stopgezet of moeten aanvullende maatregelen genomen worden.
De EDPB beoordeling in de praktijk
De EDPB vraagt data exporteurs om een zeer complexe analyse uit te voeren. Er moet namelijk een vergelijking gemaakt worden tussen de buitenlandse wetgeving én de AVG. De AVG op zichzelf is zeer complex en omvat veel open normen. Het is dus zeer moeilijk om te beoordelen of de buitenlandse wetgeving daaraan voldoet, dat blijkt wel uit het feit dat zelfs de Europese Commissie al twee keer de verkeerde analyse gemaakt heeft. Gelukkig heeft het Hof van Justitie in 2020 al geanalyseerd dat de Amerikaanse wetgeving niet voldoet, maar in principe zal bij iedere wijziging van de Europese- of Amerikaanse wetgeving opnieuw moeten worden onderzocht of de transfers nog wel mogelijk zijn.
De Amerikaanse overheid heeft een white paper uitgebracht waarin staat dat de meeste bedrijven geen informatie verwerken die interessant is voor de Amerikaanse overheid. Dat is waarschijnlijk wel waar. Echter de EDPB wil dat de data exporteur uitsluit of de standaard clausules voldoende bescherming bieden. Dus de exporteur mag geen risicoafweging maken.
Wel mogen de ervaringen uit de praktijk worden meegewogen. Veel (grote) organisaties brengen daarom transparancy rapporten uit (bijvoorbeeld Google). Deze transparancy rapporten zijn echter meestal niet secuur. De ontvanger van een 702-FISA order mag namelijk meestal niet mededelen dat hij een inzageverzoek heeft ontvangen. De gedachte daarachter is dat daardoor mogelijk het onderzoek verstoord zou kunnen worden. Dat betekent echter dat de data importeurs vaak moeten werken met brede categorieën zoals “0-499 verzoeken”. De analyse is dus gemakkelijker bij kleinere partijen, die immers minder vaak een FISA verzoek krijgen dan bijvoorbeeld Google.
Gezien de hoge eisen van de EDPB en het gebrek aan informatie zullen er maar weinig gevallen zijn waarin de data exporteur daadwerkelijk kan concluderen dat de standaard clausules bescherming bieden. Natuurlijk zijn er wel uitzonderingen, zoals het hierboven omschreven Amerikaanse bedrijf. Die uitzonderingen zijn echter maar zeer smal. Als dat bedrijf namelijk een Europese medewerker krijgt dan dient de transfer gestopt te worden. Gebeurt dat niet dan riskeert de data exporteur een AVG boete.
Stephan Mulders is advocaat in Amsterdam, gespecialiseerd in Privacyrecht. Voor meer informatie over internationale datatransfers kunt u altijd met hem contact opnemen via [email protected]
