Privacy Shield ongeldig: doorgifte persoonsgegevens naar de VS in strijd met de AVG

Nederlandse bedrijven maken veelvuldig gebruik van tools, die data opslaan in de Verenigde Staten. Denk aan Cloudproviders, e-maildiensten of organisaties voor webhosting. Tot voor kort was doorgifte van persoonsgegevens naar de Verenigde Staten toegestaan, zolang de betreffende organisatie zich maar hield aan het zogenaamde Privacy Shield. Het Europese Hof van Justitie heeft in een uitspraak van 16 juli 2020 echter geoordeeld dat het Privacy Shield ongeldig is. Dit betekent dat u geen beroep meer kunt doen op het Privacy Shield bij het gebruik van tools die persoonsgegevens opslaan in de Verenigde Staten. Gebeurt dit toch, dan wordt gehandeld in strijd met de Algemene Verordening Gegevensbescherming (AVG). In dit artikel leest u welke maatregelen u als organisatie moet nemen, om er voor te zorgen dat u wél voldoet aan de AVG.

Privacy Shield & SCC’s

Binnen de Europese Unie (EU) moet de verwerking van persoonsgegevens voldoen aan de AVG. In de AVG is bepaald dat persoonsgegevens in principe slechts mogen worden doorgegeven naar landen buiten de EU, indien een passend beschermingsniveau kan worden gegarandeerd. Aangezien de privacyregelgeving in de Verenigde Staten niet dezelfde waarborgen biedt als de AVG, werden aanvullende voorwaarden vastgelegd in het tussen de EU en de Verenigde Staten overeengekomen Privacy Shield. Zolang Amerikaanse bedrijven voldeden aan de voorwaarden in het Privacy Shield en daarvoor gecertificeerd waren, was doorgifte van persoonsgegevens vanuit de EU naar deze bedrijven toegestaan. Het Europese Hof van Justitie heeft echter in een uitspraak van 16 juli 2020 geoordeeld dat het Privacy Shield ongeldig is. Dat gecertificeerde Amerikaanse organisaties zich houden aan de voorwaarden in het Privacy Shield, voorkomt namelijk niet dat de Amerikaanse overheid inzage kan verkrijgen in de persoonsgegevens voor nationale veiligheidsdoeleinden. De uitspraak van het Europese Hof van Justitie heeft tot gevolg dat het Privacy Shield niet meer kan worden gebruikt om doorgifte van persoonsgegevens naar de Verenigde Staten te rechtvaardigen.

Veel Amerikaanse bedrijven stellen nu dat hun tools nog gewoon gebruikt kunnen worden, omdat zij gebruik maken van zogenaamde Standard Contractual Clauses (SCC’s). Dit betreft door de Europese Commissie goedgekeurde modelcontracten, op grond waarvan verwerking van persoonsgegevens buiten de EU veilig zou kunnen plaatsvinden. Het is inderdaad zo dat het Europese Hof van Justitie de SCC’s in beginsel geldig acht. Daarbij heeft het Hof echter wel geoordeeld dat bedrijven er niet zonder meer vanuit mogen gaan dat de SCC’s een voldoende passend beveiligingsniveau garanderen. Om dat te bepalen, moet onder andere worden gekeken naar de wetgeving in het betreffende land waar de persoonsgegevens worden verwerkt. Voor wat betreft de Verenigde Staten kunnen de SCC’s het voornaamste probleem niet oplossen. Het zijn immers afspraken tussen bedrijven onderling, waaraan de Amerikaanse overheid niet is gebonden. De SCC’s voorkomen dus niet dat de Amerikaanse overheid de persoonsgegevens kan inzien, bijvoorbeeld in het kader van haar surveillanceprogramma’s. De Amerikaanse overheid heeft daarmee veel verder gaande mogelijkheden om persoonsgegevens te verwerken, dan overheden op basis van de AVG hebben. Daardoor wordt het beschermingsniveau dat de AVG biedt, onvoldoende gewaarborgd bij het delen van persoonsgegevens met de Verenigde Staten.

De uitspraak van het Europese Hof van Justitie heeft dus tot gevolg dat het gebruik van tools waarmee persoonsgegevens worden verwerkt in de Verenigde Staten in beginsel in strijd is met de AVG. Het is dus van belang maatregelen te nemen, om ervoor te zorgen dat uw organisatie alsnog wél voldoet aan de AVG.

Welke stappen moet u als organisatie nemen

1. Bekijk welke tools binnen uw organisatie worden gebruikt, waarmee persoonsgegevens worden verwerkt.

Denk bijvoorbeeld aan Cloudopslagdiensten, CRM-pakketten, e-mailproviders en hostingpartijen. Alle tools die binnen uw organisatie worden gebruikt voor de verwerking van persoonsgegevens moeten worden vastgelegd in een verwerkingsregister. Hierin moet onder andere ook nog worden vastgelegd welke persoonsgegevens u als organisatie verwerkt, hoe lang u deze gegevens bewaart, met wel doel u dit doet en aan welke partijen deze persoonsgegevens worden doorgegeven. Het bijhouden van een verwerkingsregister is verplicht op grond van de AVG.

2. Probeer te achterhalen waar de organisaties die de gebruikte tools aanbieden persoonsgegevens opslaan.

Als u in kaart heeft gebracht welke tools u gebruikt, is het vervolgens van belang na te gaan waar de organisatie die de tool aanbiedt de persoonsgegevens opslaat. Is dit binnen de Europese Unie of daarbuiten? Dit is veelal terug te vinden in de (verwerkers)overeenkomsten die met de toolaanbieders zijn gesloten. Ook deze informatie moet worden vastgelegd in het verwerkingsregister.

3. Als een tool gegevens opslaat in de Verenigde Staten, bekijk dan:

1. Of het mogelijk is de gegevens op te laten slaan binnen de EU, in plaats van in de Verenigde Staten. Sommige tools bieden deze mogelijkheid.
2. Of het mogelijk is over te stappen naar een andere toolaanbieder, die gegevens wel opslaat binnen de EU.
3. Of het gebruik van de tool echt noodzakelijk is en of in dat geval gebruik wordt gemaakt van SCC’s. Daarnaast zal moeten worden bekeken of extra waarborgen kunnen worden genomen om de privacy zoveel mogelijk te beschermen, zoals het versleuteld opslaan van persoonsgegevens. Als dit niet mogelijk is, moet het gebruik van de betreffende tool in beginsel worden gestaakt (behoudens een aantal beperkt toepasbare uitzonderingen).
4. Als het gebruik van de tool echt niet op korte termijn kan worden gestaakt, raden wij aan in ieder geval de betrokkenen van wie persoonsgegevens worden verzameld over het gebruik van de tool te informeren en vast te leggen dat nader onderzoek zal worden gedaan naar de mogelijkheden. Op dit moment doet de EDPD (een overkoepelend orgaan van privacy toezichthouders) namelijk onderzoek naar de mogelijk te nemen vervolgstappen. Totdat hierover duidelijkheid bestaat moet u als organisatie zelf alvast zoveel mogelijk doen om te voorkomen dat u in strijd handelt met de AVG, met alle mogelijke risico’s van dien.

Heeft u vragen over de doorgifte van persoonsgegevens naar de Verenigde Staten of de verplichtingen waaraan u op grond van de AVG moet voldoen? Neem dan contact op met Valerie Lipman of Annemarie van Woudenberg.