Nieuwsbrief, 1 december 2020
Schrems-II – de EDPB geeft guidance
Op 11 november jl. publiceerde de European Data Protection Board (EDPB) haar guidance. Hier is vol verwachting naar uitgekeken door iedere organisatie die op basis van het Privacy Shield persoonsgegevens doorgeeft aan een organisatie in de VS.
In de uitspraak Schrems-II van 16 juli 2020 heeft het Hof van Justitie van de EU bepaald dat het Amerikaanse recht onvoldoende waarborgen biedt om een voldoende beschermingsniveau voor de verwerking van persoonsgegevens te garanderen. Het Hof verklaarde het Privacy Shield daarom ongeldig (zie ook onze nieuwsbrief van 4 augustus 2020). Dit heeft tot direct gevolg dat de uitwisseling van persoonsgegevens met de VS op basis van het Privacy Shield in strijd is met de AVG /de GDPR.
Organisaties die met het Privacy Shield werkten zaten met hun handen in het haar. Het niet doorgeven van persoonsgegevens aan de VS is voor veel bedrijven immers vaak geen optie.
Het Hof biedt in de Schrems-II uitspraak nog wel een uitweg. Daarover gaat de guidance van de EDPB.
Aanvullende maatregelen nodig
De doorgifte van persoonsgegevens naar de VS kan nog wel plaatsvinden, bijvoorbeeld op basis van Standard Contractual Clauses (SCC). Dit instrument kan alleen niet zomaar ingezet worden als grondslag voor de doorgifte van persoonsgegevens. Er zijn aanvullende maatregelen nodig. Dit geldt niet alleen voor doorgifte naar de VS, maar ook naar andere landen buiten de EER, hierna gezamenlijk ‘derde landen’.
Guidance EDPB
In de guidance geeft de EDPB een routekaart met de te nemen stappen om erachter te komen of, en zo ja welke, aanvullende maatregelen genomen moeten worden om legaal persoonsgegevens naar derde landen te kunnen doorgeven.
Welke stappen moet u doorlopen?
1. Ken uw doorgiften
Ook al kost het veel tijd om alle doorgiften naar derde landen in kaart te brengen, het kennen van deze doorgiften is een essentiële eerste stap om ervoor te zorgen dat deze persoonsgegevens een gelijkwaardig beschermingsniveau genieten. Hierbij mag niet vergeten worden dat toegang op afstand, zoals bijvoorbeeld de opslag in een cloud die zich buiten de EER bevindt, ook als een doorgifte van persoonsgegevens valt aan te merken. Bovendien moet gecontroleerd worden of de gegevens die worden doorgegeven adequaat, relevant en beperkt zijn tot wat nodig is in verband met de doeleinden waarvoor ze worden doorgegeven en verwerkt in het derde land.
2. Identificeer de ‘doorgifte-instrumenten’
Het is van belang om de ‘doorgifte-instrumenten’ op basis waarvan persoonsgegevens worden doorgegeven, te identificeren. Een eerste mogelijk ‘doorgifte-instrument’ is een adequaatheidsbesluit. Een dergelijk besluit neemt de Europese Commissie als het beschermingsniveau van persoonsgegevens in het land waarnaar gegevens worden doorgegeven vergelijkbaar is met dat binnen de EER. Ontbreekt een adequaatheidsbesluit dan kan de doorgifte van persoonsgegevens, zoals in de inleiding genoemd, nog plaatsvinden op grond van passende waarborgen zoals bijvoorbeeld SCC’s.
3. Beoordeel of het ‘doorgifte-instrument’ effectief is
Het enkele gebruik maken van SCC’s is vaak onvoldoende. De passende waarborgen moeten voor een gelijkwaardig beschermingsniveau zorgen. Indien de wetgeving van het derde land zich hiertegen verzet, kan dit niveau niet bereikt worden. Er moet dus onderzocht worden of er iets in de wetten van het derde land is dat de doeltreffendheid van de passende waarborgen kan ondermijnen. In het bijzonder is het van belang te bekijken wat de wetgeving van het derde land bepaalt over toegang tot persoonsgegevens door overheidsinstanties. Op dit punt is het ten slotte fout gegaan in de VS.
4. Neem aanvullende maatregelen
In het geval blijkt dat de wetgeving van het derde land afbreuk doet aan de passende waarborgen, dienen aanvullende maatregelen te worden genomen om alsnog een gelijkwaardig beschermingsniveau te bewerkstelligen. Deze aanvullende maatregelen kunnen grofweg in drie soorten worden verdeeld: technische, contractuele en organisatorische maatregelen.
Technische maatregelen
Bij technische maatregelen kan gedacht worden aan vormen van versleuteling, encryptie, waarbij de versleutelingssleutels buiten het bereik van overheidsinstanties worden gehouden. Ook kan pseudonimisering van de persoonsgegevens een goede technische maatregel zijn.
Contractuele maatregelen
De verplichting om de technische maatregelen uit te voeren, kan een contractuele maatregel zijn. Ook transparantieverplichtingen met betrekking tot de mate van toegankelijkheid tot de persoonsgegevens van overheidsinstanties in het derde land en de maatregelen die zijn genomen om deze toegang tot persoonsgegevens te voorkomen, vallen hieronder. De organisatie waar de persoonsgegevens vandaan komen, zou de ontvangende organisatie contractueel kunnen verplichten om de wettigheid van toegangsverzoeken te beoordelen en waar nodig aan te vechten.
Organisatorische maatregelen
Tot slot zijn er nog organisatorische maatregelen mogelijk. Hieronder vallen onder andere het aannemen van een intern beleid met daarin duidelijke verantwoordelijkheden voor de doorgifte van persoonsgegevens en de totstandbrenging van procedures in het geval van een toegangsverzoek. Ook de documentatie van toegangsverzoeken en het waarborgen van dataminimalisatie vormen voorbeelden van mogelijke organisatorische maatregelen.
Geen passend beschermingsniveau
De EDPB geeft ook voorbeelden van gevallen waarin aanvullende maatregelen geen passend beschermingsniveau kunnen bieden, zoals wanneer de bevoegdheid die aan de overheidsinstanties uit het derde land wordt verleend om toegang te krijgen tot de persoonsgegevens, verder gaat dan nodig en evenredig is in een democratische samenleving. In die gevallen zijn organisaties verplicht om de doorgifte van persoonsgegevens te vermijden of, indien ze al bezig waren, te beëindigen. Persoonsgegevens die al zijn doorgegeven, moeten worden geretourneerd of vernietigd.
5. Neem procedurele stappen
In het geval aanvullende maatregelen wel een passend beschermingsniveau kunnen bieden, kan het zijn dat er nog procedurele stappen moeten worden genomen. In sommige situaties moet bijvoorbeeld toestemming gevraagd worden bij de bevoegde toezichthoudende autoriteit.
6. Evalueer
De laatste stap die het EDPB noemt in haar guidance is het doen van een evaluatie. Er moet voortdurend gecontroleerd worden of zich ontwikkelingen in het derde land waarnaar persoonsgegevens worden doorgegeven, hebben voorgedaan die van invloed kunnen zijn op het beschermingsniveau. Waar nodig moet hierop geanticipeerd worden.
Heeft u vragen over de doorgifte van persoonsgegevens door uw organisatie aan organisaties in derde landen, of heeft u andere vragen met betrekking tot privacy, neem gerust contact met ons op. Wij adviseren u graag.
Met vriendelijke groet,
Het privacy team
Ruby Nefkens, Hylke Klasens en Merel Janssen
Van der Steenhoven advocaten N.V.
Herengracht 582 (1017 CJ) Amsterdam
tel: +31 (0) 20 607 79 79
www.vandersteenhoven.nl, nefkens