Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie (HvJ-EU) het EU-VS- en Zwitserse privacy shield mechanisme ongeldig verklaard voor de doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Dit betekende dat de VS in de ogen van de Europese General Data Protection Regulation (GDPR) niet langer een ‘adequaat’ land is. Als gevolg hiervan zijn standaardovereenkomsten voor gegevensbescherming niet langer geldig en moeten organisaties zich inspannen om andere overdrachtsgronden in de GDPR te vinden. Vaak resulteert dit in het gebruik van standaardcontractbepalingen (SCC’s) of expliciete toestemming van de betrokkene. Sommige grote organisaties hebben zogenaamde ‘bindende bedrijfsregels’ (in het Engels Binding Corporate Rules (BCR’s) genoemd), maar deze worden niet vaak gebruikt omdat het lang kan duren voordat ze zijn goedgekeurd door de bevoegde toezichthoudende autoriteit.

Wanneer er bijvoorbeeld een Amerikaanse verwerkingsverantwoordelijke (lees: gegevensimporteur) en een EU-verwerker (lees: gegevensexporteur) zijn, zijn er geen toepasselijke SCC’s die kunnen worden gebruikt. Wanneer er ook geen BCR’s kunnen worden gebruikt, kan expliciete toestemming van de betrokkene een oplossing zijn.

Er worden nu nieuwe SCC’s verwacht, maar wat ontbrak er precies in de originele SCC’s? Ten eerste werden de SCC’s die momenteel nog geldig zijn onder de GDPR al gemaakt voordat de GDPR (2018) van kracht werd (in 2001, 2004 en 2010). Hoewel ze voorlopig nog geldig zijn, zijn ze verre van ideaal in de praktische toepasbaarheid ervan. Ten tweede is er soms geen passende SCC, zoals bij de eerdergenoemde Amerikaanse verwerkingsverantwoordelijke, of bij twee verwerkers (één Amerikaanse en één Europese). Tenslotte bevatten de SCC’s de vereiste taal onder art. 28 van de GDPR niet volledig. Dit moet vaak worden toegevoegd in een addendum door de partijen, waardoor iets dat standaard zou moeten zijn nodeloos ingewikkelder wordt.

Op 12 november 2020 kondigde de Europese Commissie de publicatie van nieuwe SCC’s aan om de overdracht van persoonsgegevens van de EU naar derde of inadequate landen te vergemakkelijken. Deze nieuwe SCC’s zijn ook gemaakt in het licht van het huidige Schrems II arrest, dus moeten ze geschikt zijn om onmiddellijk te worden gebruikt. In dit artikel gaan we in op het Schrems II arrest, deze nieuwe SCC’s en of deze nieuwe SCC’s een oplossing kunnen bieden voor de huidige situatie.

Samenvatting Schrems II arrest

Het Schrems II arrest maakte het mechanisme ongeldig waarop bijna 5.000 Amerikaanse bedrijven vertrouwden om persoonsgegevens te kunnen delen met bedrijven aan de andere kant van de Atlantische Oceaan. Het HvJ-EU heeft vastgesteld dat er, ondanks de afspraken en regels die zijn gemaakt in het kader van het privacy shield, geen effectieve bescherming van de rechten en vrijheden van Europese personen kan zijn wanneer hun gegevens zich in de VS bevinden. De reden hiervoor is dat EU-burgers geen effectief gerechtelijk verhaal hebben in het licht van het lopende Amerikaanse toezicht. Het is een publiek geheim dat de VS zich bezighouden met massasurveillance en actief ‘aftappen’ van het internetverkeer tussen de EU en de VS. Persoonsgegevens die zijn opgeslagen op de servers van Amerikaanse organisaties kunnen in sommige gevallen zonder enige kennisgeving aan de EU-burger in beslag worden genomen door inlichtingendiensten. In die gevallen hebben de EU-burgers geen praktische mogelijkheid om verhaal te halen. Kortom, verregaande praktijken voor het verzamelen van inlichtingen door de VS maken overeenkomsten tussen partijen in de EU en de VS met betrekking tot de overdracht van persoonsgegevens nietig.

De nieuwe SCC’s

Omdat bestaande SCC’s in het licht van het Schrems II arrest niet meer geschikt zijn voor het oorspronkelijke doel, heeft de Europese Commissie nieuwe SCC’s gepubliceerd die nu in concept zijn. Deze nieuwe SCC’s hebben het doel de toegenomen problemen aan te pakken en toepasbaar zijn in meer situaties.

• In tegenstelling tot de voorganger zijn de nieuwe SCC’s modulair opgebouwd, wat betekent dat partijen modules kunnen verwijderen die niet van toepassing zijn op hun situatie of in het bedrijfsbelang zijn. [1] Organisaties kunnen één document downloaden en verder verfijnen voor eigen gebruik.
• Andere vereisten onder artikel 28 van de GDPR zijn al opgenomen in de nieuwe SCC’s waardoor er geen aanvullende teksten meer nodig zijn. Het is natuurlijk nog steeds mogelijk om deze teksten op te nemen zolang ze geen inbreuk maken op de tekst van de SCC.
• De nieuwe SCC’s kunnen worden gebruikt in nieuwe situaties, namelijk:

• • EU-verwerkingsverantwoordelijke naar niet-EU-verwerkingsverantwoordelijke;
  • Niet-EU verwerkingsverantwoordelijke voor EU-verwerker;
  • EU verwerker aan niet-EU-verwerkingsverantwoordelijke;
  • Niet-EU-verwerker naar EU-verwerker.

Belangrijke aspecten van de nieuwe SCC’s

Deze nieuwe SCC’s lijken een forse stap vooruit, maar hoe verhouden ze zich ten opzichte van de specifieke problemen gerelateerd aan het Schrems II arrest?

In de eerste plaats bepaalt clausule 2a van de SCC dat partijen bij de overeenkomst moeten garanderen dat zij geen reden hebben om aan te nemen dat de wetgeving in het derde of niet-adequate land de gegevensimporteur belet zijn verplichtingen uit hoofde van deze clausules na te komen. [2] Om aan deze eis te voldoen, moeten de partijen de specifieke omstandigheden van de overdracht bekijken door een beoordeling uit te voeren, die het volgende moet omvatten:

• De inhoud en duur van het contract
• De omvang en regelmaat van overdrachten
• De lengte van de verwerkingsketen
• Het aantal betrokken actoren
• De gebruikte transmissiekanalen
• Het type ontvanger
• Het doel van de verwerking
• De aard van de overgedragen persoonsgegevens
• Alle relevante praktijkervaring met eerdere gevallen of het ontbreken van verzoeken om openbaarmaking door overheidsinstanties die door de gegevensimporteur zijn ontvangen voor het type gegevens dat wordt overgedragen
• De wetgeving van het derde land of de bestemming die relevant is in het licht van de omstandigheden van de overdracht
• Alle waarborgen naast die van deze clausules, met inbegrip van de technische en organisatorische maatregelen die worden toegepast tijdens de doorgifte en de verwerking van de persoonsgegevens in het land van bestemming

In feite betekent dit dat een gegevensoverdrachtseffectbeoordeling (GEB) moet worden voltooid voordat persoonsgegevens worden overgedragen. Deze resultaten van deze GEB moeten op verzoek ter beschikking worden gesteld aan de bevoegde toezichthoudende autoriteit.

Ten tweede stelt de nieuwe SCC dat de gegevensimporteur in het derde land de gegevensexporteur in de EU moet informeren over alle verzoeken van de overheid die hij ontvangt, bijvoorbeeld van een wetshandhavingsinstantie. Als het de gegevensimporteur om welke reden dan ook verboden is om de gegevensexporteur op de hoogte te stellen, moet hij zich inspannen om een ontheffing te verkrijgen om toch de relevante melding te kunnen doen. Bij deze kennisgeving moet de gegevensimporteur de meest mogelijke hoeveelheid informatie over het verzoek aan de gegevensexporteur verstrekken zonder inbreuk te maken op de wetgeving in het land van de gegevensimporteur. Als de gegevensimporteur aan een verzoek moet voldoen en er geen manier is om hieraan te ontsnappen, moeten de volgende maatregelen worden genomen:

• Toetsing van de wettigheid van het verzoek van de overheidsorganisatie
• Verstrek alleen minimale informatie die is toegestaan in het licht van het verzoek
• Alle rechtsmiddelen uitputten om het verzoek aan te vechten, met inbegrip van het bekijken van voorlopige maatregelen die het verzoek kunnen schorsen
• Verstrek alleen de vereiste informatie volgens de procedureregels van het verzoek

Ten derde voorzien de nieuwe SCC’s in verbeterde veiligheidsmaatregelen die in bijlage II van het document moeten worden opgenomen. Een belangrijke maatregel die moet worden genomen, is versleuteling, om te voorkomen dat autoriteiten toegang krijgen tot de gegevens. Het geeft echter niet aan wat voor soort codering moet worden gebruikt. Daarnaast spelen anonimisering of pseudonimisering een belangrijke rol bij het vergroten van de algehele veiligheid van de verwerkingsactiviteit. Personen die gemachtigd zijn om de persoonsgegevens te verwerken (werkzaam voor de gegevensimporteur) moeten vertrouwelijkheidsovereenkomsten ondertekenen. Deze maatregelen moeten worden gebruikt, maar niet op een manier die de gegevens onleesbaar of ontoegankelijk maakt voor de ontvanger van de overdracht, wat betekent dat het gegevensverwerkingsdoel nog steeds haalbaar moet zijn.

Een oplossing?

De nieuwe SCC’s zijn nu verkrijgbaar in alle smaken die een organisatie nodig zou hebben, en dat is een behoorlijke verbetering ten opzichte van de oude SCC’s. De nieuwe SCC’s beogen een werkbare relatie tot stand te brengen tussen Europese en Amerikaanse organisaties op het gebied van dataoverdracht, terwijl zij de realiteit van het Schrems II arrest nog steeds erkennen. Zij eisen terecht dat er meer technische en organisatorische maatregelen worden genomen voordat persoonsgegevens kunnen worden verwerkt. Een GEB vóór de doorgifte van persoonsgegevens is verplicht en moet op verzoek van de toezichthoudende autoriteiten worden opgesteld. De vraag is dan, is dit een echte oplossing? Dat valt nog te bezien. Vanuit juridisch oogpunt is de GEB-eis een solide inzet voor het identificeren en beperken van privacy risico’s, maar het is een tijdrovende taak voor kleinere organisaties. Ten slotte vereisen de nieuwe SCC’s een grondig begrip van de wet in het niet-adequate land voor de organisatie die erin gevestigd is. Om overheidsopdrachten aan te vechten en als het erop aankomt, alleen het minimum vereiste te gebruiken klinkt een stuk gemakkelijker dan het in de praktijk is. Kleinere organisaties zullen moeite hebben om met deze realiteit om te gaan.

Aandachtspunten

De nieuwe SCC’s zijn nog in conceptvorm. Hoewel de openbare raadplegingsperiode is afgelopen (10  december 2020), zijn er nog geen definitieve versies. Deze concept-SCC’s geven ons inzicht in wat er zal komen, omdat het onwaarschijnlijk is dat ze aanzienlijk zullen veranderen. Wanneer de nieuwe SCC’s definitief zijn, zullen ze de oude SCC’s gaan vervangen. Het is niet toegestaan om de oude SCC’s te blijven gebruiken. Dit vereist veel werk van privacy professionals, omdat deze SCC’s wel een beoordeling vereisen, alvorens ze definitief gebruikt kunnen worden.

Bovendien moeten organisaties in derde landen zich stevig inzetten om voet aan de grond te krijgen als het gaat om interactie met hun eigen overheid en haar klanten en overige stakeholders. Het valt nog te bezien hoe dit in de praktijk zal uitpakken.

• Nieuwe SCC’s zullen alle controller – processor-relaties dekken
• Bestaande SCC’s zullen moeten worden vervangen door nieuwe SCC’s wanneer ze definitief worden, er zal een respijtperiode van 12 maanden zijn om dat mogelijk te maken
• Er moet een overdrachtseffect-beoordeling worden uitgevoerd voor alle verwerkingen die plaatsvinden met deze nieuwe SCC’s
• Organisaties die met de EU data willen blijven uitwisselen, zullen zich behoorlijk moeten inspannen om deze nieuwe SCC’s effectief te implementeren.

[1] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries
[2] Clause 2a, page 13, COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council