Doorgifte van persoonsgegevens naar de VS: hoe staat het nu?

In juli publiceerden wij een blog over het ‘Schrems II-arrest’, waarin (onder meer) het EU-US Privacy Shield ongeldig werd verklaard. Daarmee verviel een belangrijke basis voor het mogen delen van persoonsgegevens met de VS. Ook heeft het arrest gevolgen voor de doorgifte naar andere landen buiten de EER. Onduidelijk was onder meer hoe doorgiften van persoonsgegevens naar de VS na dit arrest rechtmatig plaats konden vinden. Recent deed de EDPB een poging om hierover duidelijkheid te scheppen.

Kort na het arrest publiceerde de EDPB (European Data Protection Board) een document met ‘frequently asked questions’, waarin zij antwoord gaf op enkele prangende vragen die het arrest deed rijzen. De EDPB verduidelijkte dat er geen sprake is van een ‘respijtperiode’ waarin doorgiften naar de VS nog op het EU-US Privacy Shield gebaseerd zouden mogen worden. Ook gaf zij aan dat doorgifte naar derde landen op grond van zogenaamde ‘modelcontractbepalingen’ en ‘bindende bedrijfsvoorschriften’ nog wel mogelijk is, zij het onder strikte voorwaarden. In zo’n geval moet de verwerkingsverantwoordelijke onder meer de wetgeving van het beoogde derde land analyseren op overeenstemming met de AVG-normen en moet hij waar nodig aanvullende maatregelen nemen, opdat een passend beschermingsniveau voor de privacy van EU-burgers gegarandeerd is. Dat laatste klinkt interessant, maar concrete handvatten voor een dergelijke analyse en eventuele noodzakelijke maatregelen ontbraken. Bovendien leek het na Schrems-II, waarin geoordeeld werd dat Amerikaanse wetgeving intrinsieke privacyrisico’s voor EU-burgers bevat, onmogelijk om de nodige maatregelen te treffen. Dat maakte een praktische rechtmatige oplossing die massa-uitwisseling van persoonsgegevens met de VS kon legitimeren erg lastig .

Maandenlang moest men het met deze beperkte handreiking doen. De EDPB heeft het een en ander echter onlangs verduidelijkt. In twee recommendations doet zij verdere aanbevelingen voor een door verwerkingsverantwoordelijken uit te voeren analyse en mogelijke te treffen maatregelen, voor het geval uit de analyse blijkt dat er onvoldoende privacybescherming is in het land dat Europese persoonsgegevens ontvangt.

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

De eerste set aanbevelingen ziet op de beoordeling van het beschermingsniveau voor persoonsgegevens in het derde land en op de eventueel te nemen aanvullende maatregelen. Deze set aanbevelingen stond tot 21 december 2020 open voor publieke consultatie. Deze kan dus nog wijzigen. Toch biedt deze ‘conceptversie’ alvast een zinvol inzicht in de stappen die partijen kunnen zetten om doorgifte van persoonsgegevens naar een derde land te legitimeren. Deze aanbevelingen omschrijven de stappen die gezet moeten worden bij de analyse van het beschermingsniveau en eventuele te nemen maatregelen:

  1. In kaart brengen van de doorgiften van persoonsgegevens naar derde landen. Daarbij moet onder meer beoordeeld worden of deze doorgiften beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij plaatsvinden;
  2. Controleren van de te gebruiken of gebruikte doorgifte-instrumenten. Hiermee wordt gedoeld op de toepasselijkheid van de instrumenten die worden omschreven in de AVG, zoals modelcontractbepalingen en bindende bedrijfsvoorschriften. Mocht er voor het betreffende derde land sprake zijn van een geldig ‘adequaatheidsbesluit’, dan hoeven geen verdere stappen te worden genomen. (Middels een adequaatheidsbesluit oordeelt de Europese Commissie dat een derde land een passend beschermingsniveau biedt.);
  3. Beoordelen van de wet- en regelgeving in het derde land. Als de doorgifte plaatsvindt op grond van een ander instrument dan een adequaatheidsbesluit (let wel: met Schrems II verviel dus het adequaatheidsbesluit voor de VS), moet de gegevensexporteur beoordelen of in het derde land sprake is van wet- en/of regelgeving die afbreuk doet aan de gegevensbescherming van EU-ingezetenen. Op basis waarvan deze beoordeling plaats moet vinden, blijkt uit een tweede set aanbevelingen (die we hierna bespreken). Deze beoordeling moet nauwgezet gedocumenteerd worden, aangezien de gegevensexporteur verantwoordelijk is voor de op basis daarvan gemaakte keuzes;
  4. Identificeren en implementeren aanvullende maatregelen, waar nodig. Als bij de uitvoering van de voorgaande stap blijkt dat de wet- en/of regelgeving van het beoogde land afbreuk doet aan het beschermingsniveau, moeten aanvullende maatregelen worden getroffen om dat beschermingsniveau toch te waarborgen. In een bijlage bij de aanbevelingen is een niet-limitatieve lijst opgenomen van mogelijke maatregelen, zoals vergaande ‘overheidsinmenging-proof’ versleuteling en ‘multi-party processing’ waarbij geen van de verkrijgende verwerkers de persoonsgegevens kan reconstrueren. De gegevensexporteur is verantwoordelijk voor de implementatie van de juiste effectieve maatregelen. Volgens de EDPB kan het ook zo zijn dat de maatregelen niet het gewenste effect hebben. In dat geval mag de doorgifte niet plaatsvinden. Ook deze beoordeling moet uiterst nauwgezet gedocumenteerd worden;
  5. Formele stappen. Als vijfde stap moeten eventuele formele en procedurele stappen gezet worden die nodig zijn om de gekozen doorgifte-instrumenten te gebruiken, zoals het laten goedkeuren van bindende bedrijfsvoorschriften of eventuele wijzigingen in de modelcontractbepalingen. Deze stappen vloeien voort uit de AVG en worden gespecificeerd in de aanbevelingen;
  6. Regelmatige evaluatie. Als laatste stap moet het beschermingsniveau met passende regelmaat geëvalueerd worden. Daarbij moet continu toezicht worden gehouden op ontwikkelingen die invloed kunnen hebben op het beschermingsniveau.

Recommendations 02/2020 on the European Essential Guarantees for surveillance measures

De tweede set aanbevelingen is een herziene versie van de aanbevelingen die gepubliceerd werden na het Schrems I-arrest uit oktober 2015. Deze set is als definitieve versie gepubliceerd. In deze set aanbevelingen worden de zogenaamde ‘European Essential Guarantees’ (hierna: ‘EEG’) behandeld: beginselen die in acht moet worden genomen om te verzekeren dat inbreuken op privacyrechten door overheidsinmenging bij data-export niet verder gaat dan wat noodzakelijk en proportioneel is naar EU-maatstaven. Met andere woorden; als hiervoor bij stap 3 is gebleken dat de wet- en regelgeving afbreuk doet aan het niveau van gegevensbescherming,  kan met behulp van de EEG beoordeeld worden of een rechtmatige doorgifte van persoonsgegevens naar het betreffende derde land toch mogelijk is.

Met inachtneming van de relevante jurisprudentie is de EDPB van mening dat een dergelijke overheidsinmenging slechts te rechtvaardigen is als de volgende EEG worden gerespecteerd:

  1. De verwerking moet worden gebaseerd op heldere, precieze en toegankelijke regels. De overheidsinmenging moet gebaseerd zijn op wetgeving van het betreffende derde land. Die wet moet heldere en precieze regels bevatten voor de reikwijdte en het toepassingsgebied voor de overheidsinmenging en bepaalde minimumwaarborgen bevatten;
  2. De noodzakelijkheid en proportionaliteit moeten worden aangetoond ten aanzien van de gerechtvaardigde doelen die worden nagestreefd. Onder meer moet hierbij de mate van inmenging (of andere beperking van privacyrechten) worden afgezet tegen het publieke belang dat door de inmenging wordt gediend.
  3. Er moet een onafhankelijk toezichtmechanisme bestaan. Elke inmenging in privacyrechten en in de bescherming van persoonsgegevens moet onderworpen zijn aan een effectief, onafhankelijk en onpartijdig toezichtsysteem, dat wordt geboden door ofwel een rechter ofwel een ander onafhankelijk orgaan.
  4. Het individu moeten effectieve rechtsmiddelen (remedies) ter beschikking staan. De betrokkene moet over doeltreffende rechtsmiddelen beschikken om zijn rechten te kunnen handhaven, wanneer hij/zij van mening is dat zijn of haar rechten niet worden geëerbiedigd.

Gevolgen doorgiften VS

Voor de VS is bekend dat de toepasselijke wet- en regelgeving afbreuk doet aan het niveau van gegevensbescherming. Daarover liet de rechter zich in Schrems II uit. Het is daarom de vraag in hoeverre verwerkingsverantwoordelijken maatregelen kunnen treffen die overheidsinmenging door de autoriteiten van de Verenigde Staten (in voldoende mate) beperken. In de aanbevelingen schetst de EDPB verschillende scenario’s, waarbij zij aandacht besteedt aan de in die gevallen te treffen maatregelen. In dit kader worden erg strenge voorwaarden gesteld.

Zo is encryptie van persoonsgegevens volgens de EPDB alleen onder zeer strenge voorwaarden een geschikte maatregel. De EDPB schetst onder meer een scenario betreffende de situatie dat een verwerkingsverantwoordelijke uit de EU persoonsgegevens doorgeeft naar een hosting provider in een derde land (zoals de VS) voor back-up doeleinden, waarbij geen toegang van de hosting provider tot de persoonsgegevens vereist is. In dat scenario kan encryptie volgens de EDPB een effectieve maatregel zijn ter waarborging van een passend beschermingsniveau, als:

  1. De persoonsgegevens worden voorzien van sterke encryptie voorafgaand aan de doorgifte;
  2. Deze encryptie ‘state-of-the-art’ is en als robuust kan worden beschouwd tegen ‘cryptoanalyse’ door de autoriteiten van het derde land, mede gelet op de middelen en technische mogelijkheden waarover die autoriteiten beschikken (waarbij ook aan zogenaamde ‘brute-force attacks’  moet worden gedacht);
  3. Bij de encryptie rekening wordt gehouden met de periode waarbinnen de vertrouwelijkheid van de persoonsgegevens moet worden gewaarborgd;
  4. Het encryptie-algoritme feilloos geïmplementeerd is met goed onderhouden software welke is afgestemd op het algoritme, bijvoorbeeld middels certificering;
  5. De decryptie-sleutels op betrouwbare wijze worden beheerd;
  6. De decryptie-sleutels uitsluitend onder beheer van de data-exporterende verwerkingsverantwoordelijke (of een andere partij die voldoet aan de gegevensbeschermingsstandaarden van de EU) zijn.

 Er wordt in dit scenario om zodanig vergaande encryptie gevraagd, dat deze bestand is tegen toegang door autoriteiten van derde landen. Waarschijnlijk is dit voor het overgrote deel van de verwerkingsverantwoordelijken een vrijwel onmogelijke opgave, althans vergt dit een financiering die niet in verhouding staat met het met de doorgifte gediende doel.

Andere scenario’s zien op vergaande (aan anonimisering grenzende) pseudonimisering, het uitsluitend doorvoeren van zeer sterk versleutelde persoonsgegevens door een derde land naar een land dat wel een passend beschermingsniveau (naar EU-maatstaven) biedt, doorgifte van versleutelde persoonsgegevens aan een ontvanger die door de toepasselijke wetgeving beschermd wordt tegen toegang tot de persoonsgegevens en ‘multi-party processing’ (waarbij wordt gewerkt met verschillende verwerkers, ieder in verschillende jurisdicties. Elke verwerker verwerkt daarbij een onderdeel van de gegevens, waarmee geen van hen de persoonsgegevens kan reconstrueren).

De EDPB besteedt ook  aandacht aan scenario’s waarin geen effectieve maatregelen getroffen kunnen worden. Waar niet-versleutelde persoonsgegevens nodig zijn voor het gebruik van de diensten van de partij in het derde land, is dit problematisch. Zo is het niet toegestaan een cloud-aanbieder in een (1) derde land in te schakelen, als (2) die cloud-aanbieder toegang moet hebben tot de persoonsgegevens en (3) de autoriteiten in dat land toegang hebben die verder gaat dan wat noodzakelijk en proportioneel is naar EU-maatstaven. Dit betekent dat het voor veel partijen niet langer mogelijk is om op rechtmatige wijze cloud-aanbieders in de VS in te schakelen. Dit heeft grote gevolgen voor zowel die aanbieders als de verwerkingsverantwoordelijken in de EU, welke op grote schaal gebruik maken van dergelijke diensten. Ook wordt het scenario genoemd dat een in de EU-gevestigde onderneming voor bedrijfsdoeleinden op afstand toegang tot de persoonsgegevens verschaft aan een onderneming in een derde land, bijvoorbeeld omdat de ondernemingen tot dezelfde groep behoren (denk aan concern-verhoudingen). Als de in het derde land gevestigde partij (1) door een informatiesysteem toegang heeft tot de persoonsgegevens, (2) deze vervolgens kan verwerken voor zijn eigen doeleinden en (3) de autoriteiten van dat land toegang tot die persoonsgegevens kunnen hebben die verder gaat dan wat noodzakelijk en proportioneel is naar EU-maatstaven, kunnen volgens de EDPB geen effectieve maatregelen worden getroffen. Dit is uiterst problematisch voor concerns met vestigingen binnen de EU, die bijvoorbeeld de personeelsadministratie uitbesteden aan een moeder- of zustermaatschappij in de VS.

De EDPB besteedt in de aanbevelingen ook aandacht aan mogelijke contractuele maatregelen, maar overweegt dat deze op zichzelf niet afdoende zijn om een passend beschermingsniveau te waarborgen. Waar gelet op het voorgaande geen passende technische maatregelen getroffen kunnen worden, is dat dan ook niet te ondervangen met organisatorische maatregelen.

Conclusie

Met de aanbevelingen komt de EDPB tegemoet aan de vraag uit de praktijk om meer duidelijkheid over de doorgifte van persoonsgegevens naar derde landen, meer in het bijzonder de VS. Hoewel de aanbevelingen de gevraagde duidelijkheid deels bieden, is ook duidelijk dat de uitvoering van de omschreven stappen en de implementatie van de waarborgen in de praktijk veelal tijdrovend en complex zal zijn. Waar het de VS betreft, is een rechtmatige doorgifte van persoonsgegevens onverminderd problematisch. Voor veel in de EU-gevestigde ondernemingen is het onwerkbaar om in overeenstemming met de aanbevelingen persoonsgegevens door te geven naar de VS. Daar komt bij dat de AVG ter zake een fors aansprakelijkheids- en boeterisico bij verwerkingsverantwoordelijken in de EU belegt, terwijl dit doorgaans niet de partijen zijn die de risico’s voor de bescherming van persoonsgegevens in de VS kunnen beheren. Rechtmatige doorgiften van de persoonsgegevens naar de VS zijn met Schrems II, ondanks de aanbevelingen van de EDPB, voor veel partijen praktisch onmogelijk gemaakt. Ingrijpen van de wetgever is nodig, om massa-uitwisseling van persoonsgegevens tussen de EU en de VS weer mogelijk te maken. De wetgever is aan zet.

De specialisten van de sectie IE, ICT en Privacy van KienhuisHoving zijn gespecialiseerd in de wet- en regelgeving rondom de bescherming van persoonsgegevens. Zij adviseren uw organisatie graag over de gevolgen van het bovenstaande en over een zo efficiënt mogelijk implementatie van de vereisten. U kunt contact met hen opnemen via de gegevens op onze website of door rechtstreeks te bellen met +31 53 480 47 22.