Privacy Shield ongeldig verklaard: zo word je weer compliant met de AVG

De uitspraak van het Europese Hof van Justitie gaat een enorme impact hebben op organisaties die data delen buiten de EU

Op 16 juli 2020 deed het Europese Hof van Justitie een uitspraak met enorme consequenties voor het internationale dataverkeer. Het Hof zette een streep door het Privacy Shield, de opvolger van het in 2015 ongeldig verklaarde Safe Harbor. Dit zorgt ervoor dat de doorgifte van data aan ruim 5.500 Amerikaanse organisaties (waaronder de meest gebruikte marketingtools) per direct een overtreding van de AVG is. Hoe nu verder? In dit artikel geef ik je vijf tips waarmee je de impact in kaart kunt brengen en stappen kunt zetten richting AVG-compliance.

De uitspraak van het Europese Hof van Justitie is opnieuw toe te schrijven aan privacy-activist Max Schrems, die met zijn organisatie NOYB (None Of Your Business) procedeerde tegen datadoorgifte door Facebook. Via de Ierse toezichthouder en de Ierse rechter werd de zaak doorverwezen naar de Hoogste Europese rechter. Het resultaat is dat een groot deel van het trans-Atlantische dataverkeer, dat gebaseerd werd op het Privacy Shield, vanaf nu onrechtmatig is.

Alternatief Privacy Shield lijkt ook onbruikbaar

Maar de uitspraak gaat verder dan het ongeldig verklaren van het Privacy Shield. Standard Contractual Clauses (SCC’s), de door de EU goedgekeurde modelcontracten om veilige verwerking buiten de EU te waarborgen, werden door het Hof ook beoordeeld. Volgens onderzoek van IAPP, de internationale organisatie van privacy-professionals, maakt 88 procent van de organisaties die data delen buiten de EU gebruik van SCC’s (60 procent gebruikt het Privacy Shield). Organisaties mogen er volgens het Hof niet langer van uitgaan dat deze overeenkomsten ervoor zorgen dat verwerking in het land van bestemming per definitie veilig is. Wie data deelt op grond van zo’n SCC moet een analyse maken van het rechtssysteem in het land van bestemming om te verifiëren of de ontvangende partij de afspraken in de SCC’s daadwerkelijk kan nakomen. Het lijkt een onmogelijke opgave voor organisaties, waarmee ook het meest voor de hand liggende alternatief voor Privacy Shield onbruikbaar lijkt.

Vijf stappen die je nu moet nemen

De uitspraak van het Europese Hof van Justitie gaat een enorme impact hebben op organisaties die data delen buiten de EU (en 70 procent van de organisaties doet dit, volgens bovengenoemde IAPP-onderzoek). De belangrijkste stap is nu om de gevolgen voor je eigen organisatie in kaart te brengen en ervoor te zorgen dat je aan de AVG kunt blijven voldoen. Deze vijf tips helpen je daarbij.

1. Breng ontvangers van data in kaart

Dit kun je terugvinden in je verwerkingenregister. Sinds de AVG is het bijhouden van een dergelijk register verplicht. In dat register moet vermeld staan welke (categorieën van) ontvangers van persoonsgegevens er zijn. Controleer wanneer dit register voor het laatst is bijgewerkt. Kijk of er sinds die datum nieuwe ontvangers van persoonsgegevens bijgekomen zijn. Werk het register bij indien nodig.

2. Controleer of er gegevens verwerken worden buiten de EU

Ook dit zou in het verwerkingenregister terug moeten te vinden zijn. De AVG verplicht het vermelden van doorgifte van persoonsgegevens buiten de EU en de bijbehorende waarborgen in dit register. Begin met partijen die afkomstig zijn van buiten de EU, bij die groep is de kans logischerwijs het grootst dat gegevens buiten de EU belanden.

Kijk vervolgens naar de Europese ontvangers, en ga er niet vanuit dat deze hun gegevens enkel in de EU opslaan. Controleer ook voor Europese partijen of de gegevens naar buiten de EU gebracht worden. Bijvoorbeeld doordat gebruik wordt gemaakt van cloudopslag buiten de EU. Als het gaat om verwerkers (bijvoorbeeld tool-aanbieders) zou dit in de verwerkersovereenkomst opgenomen moeten zijn. Verwerkers mogen namelijk niet zonder goedkeuring van de verantwoordelijke de gegevens buiten de EU brengen.

Ook mag een verwerker niet zonder de goedkeuring van de verantwoordelijke een andere verwerker (ook wel ‘sub-verwerker’) inschakelen.

Zorg ervoor dat je niet enkel vaart op de afspraken die op papier zijn gemaakt

Op die manier houd je als verantwoordelijke regie over de keten. Zorg ervoor dat je niet enkel vaart op de afspraken die op papier zijn gemaakt. Doe wat mogelijk is om voor de keten die onder de verantwoordelijkheid van jouw organisatie staat inzichtelijk te maken waar data de EU verlaten. Kijk daarvoor ook naar eventuele sub-verwerkers van je verwerkers. Bijvoorbeeld de hostingpartij van je webbouwer, of de analysetools van je marketingbureau. Je bent als opdrachtgever verantwoordelijk voor alle verwerkingen die – direct of indirect – in opdracht van jouw organisatie plaatsvinden.

We raden je aan om in ieder geval naar de volgende tools te kijken:

• Cloudproviders (check ook waar de back-ups opgeslagen worden)
• Webhosting
• E-maildiensten
• Socialmediaplatformen
• Cookietools
• CRM-systemen
• Socialmediamonitoring
• Videobelapplicaties

In de verwerkersovereenkomst met deze organisaties moet vermeld staan of de gegevens doorgegeven worden buiten de EU.

3. Kies waar mogelijk voor gegevensopslag binnen de EU

Veel dienstverleners van buiten de EU hebben de afgelopen jaren de mogelijkheid toegevoegd om te kiezen voor gegevensopslag binnen de EU. Als dat gebeurt op een manier waarbij er daadwerkelijk geen verwerking is buiten de EU, hoeven er geen extra maatregelen getroffen te worden. Let op: er kan bijvoorbeeld al sprake zijn van doorgifte wanneer een supportafdeling van buiten de EU op verzoek meekijkt in het systeem.

Vindt de doorgifte plaats bij sub-verwerkers van de verwerkers die je inschakelt? Dring er dan bij die verwerkers op aan dat zij ervoor zorgen dat de gegevens bij hun onderaannemers in Europa blijven.

4. Informeer de betrokkenen

Ook het informeren over doorgifte is al een wettelijke verplichting. De betrokkene moet er (bijvoorbeeld in het privacy statement van de verantwoordelijke organisatie) over geïnformeerd worden dat zijn of haar gegevens worden doorgegeven buiten de EU. Er moet ook geïnformeerd worden over de manier waarop er voor die doorgifte een passend beschermingsniveau gerealiseerd wordt in het land van bestemming. We raden aan om die informatie aan te passen op een manier waarop duidelijk wordt dat je organisatie op de hoogte is van de Schrems II-uitspraak. Zeker wanneer nog niet helemaal duidelijk is of je organisatie voldoet aan de AVG op dit punt is het aanbevolen om helder te informeren dat hier aan gewerkt wordt. Wanneer je regelmatig contact hebt met de doelgroep zou je er bijvoorbeeld ook aandacht aan kunnen besteden in een nieuwsbrief.

Nu een groot deel van het bedrijfsleven per direct in overtreding is, ligt de bal bij de toezichthouder

5. Houd de toezichthouder in de gaten

Nu een groot deel van het bedrijfsleven per direct in overtreding van de AVG is, ligt de bal bij de toezichthouder. Start zij direct met handhaven of verleent ze een coulanceperiode waarin de doorgifte ‘gedoogd’ wordt? Formeel heeft de AP de mogelijkheid om boetes op te leggen tot 4 procent van de wereldwijde omzet.

Geen gedoogperiode

Toen de voorloper van het Privacy Shield ongeldig werd verklaard, verleenden de toezichthouders in Europa een gedoogperiode van negen maanden waarbinnen de Europese Commissie en de Amerikaanse regering de tijd hadden om de Safe Harbor-constructie te aan te passen. Organisaties kregen gedurende die periode de mogelijkheid om gegevens uit te wisselen alsof Safe Harbor nog bestond. Het is nu afwachten of de toezichthouders opnieuw bereid zijn om een dergelijk gedoogperiode te hanteren. In de reacties op de Schrems II-uitspraak spreekt de Autoriteit Persoonsgegevens niet over een gedoogperiode. In een Frequently Asked Questions-document maakt de EDBP, de Europese koepel van privacy-toezichthouders, duidelijk dat er wat hen betreft geen sprake van gedogen zal zijn. Het lijkt een kwestie van tijd voordat er in heel Europa klachten van privacy-activisten worden ingediend bij toezichthouders.

Omdat de impact van deze uitspraak groot is en er nog veel onduidelijkheid heerst, heeft DDMA de meest gestelde vragen over data delen buiten de EU op een rij gezet.