Persoonsgegevens mogen alleen worden doorgegeven naar landen buiten de Europese Economische Ruimte (EER) wanneer dat land voldoende bescherming biedt. Op 16 juli 2020 heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard. Deze beslissing staat bekend als de zaak Schrems II.
Het Hof heeft in Schrems II geoordeeld dat persoonsgegevens nog wel kunnen worden doorgegeven wanneer de gegevensexporteur en de gegevensimporteur een doorgifteovereenkomst sluiten op basis van model contractbepalingen (standard contractual clauses, SCC’s). Volgens het Hof moeten dan wel aanvullende maatregelen worden genomen. Dit geldt ook voor het gebruik van bindende bedrijfsvoorschriften (binding corporate rules, BCR’s). De European Data Protection Board (EDPB) heeft op 11 november 2020 aanbevelingen gepubliceerd voor dergelijke aanvullende maatregelen. In deze blog vat ik de aanbevelingen voor gegevensdoorgifte samen.
Aanbevelingen EDPB
Na de uitspraak in Schrems II vielen veel organisaties terug op de SCC’s om de doorgifte van persoonsgegevens te legitimeren. Hoewel de SCC’s nog geldig zijn, gaf het Hof aan dat aanvullende maatregelen nodig (kunnen) zijn. De EDPB, het orgaan waarin alle Europese privacy toezichthouders vertegenwoordigd zijn, heeft kort na de uitspraak vragen en antwoorden over deze zaak gepubliceerd. Daarin legt de EDPB uit dat zij op een later moment aanbevelingen zou doen ten aanzien van de maatregelen die nodig zijn als de SCC’s of de BCR’s niet het vereiste beschermingsniveau bieden.
Op 11 november 2020 heeft het EDPB twee sets van aanbevelingen gepubliceerd. De eerste set gaat over de beoordeling door de gegevensexporteur ten aanzien van de gegevensdoorgifte en de aanvullende maatregelen die nodig (kunnen) zijn voor de gegevensbescherming. De tweede set helpt de gegevensexporteur om na te gaan of sprake is van ongerechtvaardigde inmenging door autoriteiten in het derde land.
De aanbevelingen voor aanvullende maatregelen (de eerste set) bevatten een stappenplan. Dit helpt gegevensexporteurs bij de beoordeling of en hoe doorgifte van persoonsgegevens naar derde landen mogelijk is. De EDPB onderscheidt de volgende stappen:
Stap 1 – Doorgiftes in kaart brengen
De EDPB raadt gegevensexporteurs aan alle doorgiftes in kaart te brengen. Daarbij moeten zij vastleggen naar welke derde landen zij persoonsgegevens doorgeven. Bij de doorgifte moeten de beginselen van dataminimalisatie en doelbinding worden nageleefd. Dit betekent dat gegevensexporteurs ervoor moeten zorgen dat zij alleen noodzakelijke en relevante persoonsgegevens doorgeven. Zij mogen niet meer gegevens doorgeven dan noodzakelijk. De Algemene Verordening Gegevensbescherming (AVG) bevat reeds de verplichting om gegevensverwerkingen in kaart te brengen. Deze moeten worden vastgelegd in het verwerkingsregister (documentatieplicht). Daarbij moet per verwerking worden aangegeven of sprake is van doorgifte naar een derde land. Bij deze eerste stap kan het verwerkingsregister als vertrekpunt worden genomen.
Stap 2 – Controle van het instrument voor doorgifte
Voor elke doorgifte van persoonsgegevens moeten de gegevensexporteurs nagaan i) of er voor het ontvangende land een adequaatheidsbesluit is gegeven, en zo niet ii) of de doorgifte op basis van een ander doorgifte instrument kan worden gelegitimeerd (zoals de SCC’s of BCR’s). Wanneer de doorgifte incidenteel plaatsvindt kan sprake zijn van een uitzondering. In dat geval moet worden onderzocht op welke uitzonderingen de gegevensexporteur zich kan beroepen.
Stap 3 – Beoordeling van wettelijke regelingen in derde landen
Als de gegevensimporteur persoonsgegevens doorgeeft op grond van SCC’s, BCR’s of een ander doorgifte instrument, is verder onderzoek nodig. De gegevensexporteur moet controleren of er wet- en regelgeving is die afbreuk kan doen aan de bescherming van persoonsgegevens. Dit is vooral belangrijk wanneer in het derde land onduidelijke of ontoegankelijke wetgeving is over toegang tot persoonsgegevens. Als er geen wetgeving is over overheidstoegang, moet de gegevensexporteur kijken naar andere relevante en objectieve factoren. De gegevensexporteur kan niet vertrouwen op subjectieve factoren zoals de waarschijnlijkheid dat overheidsinstanties toegang kunnen krijgen tot persoonsgegevens. De EDPB raadt de gegevensexporteur aan om bij de gegevensimporteur informatie in te winnen over dergelijke wet- en regelgeving. De gegevensexporteur moet de beoordeling zorgvuldig uitvoeren en documenteren.
Stap 4 – Aanvullende beschermingsmaatregelen vaststellen en uitvoeren
Als bij stap 3 blijkt dat de wetgeving van het derde land onvoldoende bescherming biedt, zijn aanvullende maatregelen nodig. Het EDPB geeft een niet-uitputtende lijst van voorbeelden, waaronder:
- Encryptie. Wanneer een gegevensimporteur alleen een opslag-, transit-, back-updienst aanbiedt en geen toegang tot de gegevens vereist is, kan sterke encryptie worden toegepast. Daarbij wordt de sleutel door de gegevensexporteur bewaard. De gegevensimporteur heeft dan geen toegang tot de persoonsgegevens en kan autoriteiten geen toegang geven.
- Pseudonimisering. Indien mogelijk, moet de gegevensexporteur alleen gepseudonimiseerde gegevens doorgeven. De gegevensimporteur moet de gegevens niet kunnen terug herleiden naar een individu.
- Splitsing van de verwerkingen. De gegevensexporteur kan gebruik maken van verschillende gegevensimporteurs waarvoor verschillende rechtsregels gelden. De gegevens kunnen zodanig worden gesplitst dat geen van de gegevensimporteurs de gegevens kan herleiden naar een individuele betrokkene.
- Aanvullende afspraken met de gegevensimporteur. Partijen kunnen bijvoorbeeld afspraken maken over transparantie ten aanzien van toegang door autoriteiten. Ook kunnen zij afspraken maken over maatregelen om toegang te voorkomen en te beperken. Daarnaast kunnen partijen de gegevensexporteur ruime bevoegdheden geven om audits uit te voeren. Partijen kunnen ook afspreken dat de gegevensimporteur bij een verzoek om toegang altijd de toelaatbaarheid van dit verzoek controleert. In voorkomend geval kan de gegevensimporteur dit verzoek aanvechten.
- Organisatorische maatregelen. Denk hierbij aan de vaststelling van intern beleid met een duidelijke toewijzing van verantwoordelijkheden voor gegevensoverdracht. Ook kan de gegevensimporteur procedures in stand houden ten aanzien van een verzoek om toegang. De gegevensimporteur kan maatregelen nemen op het gebied van transparantie en verantwoordingsplicht, waaronder het documenteren van verzoeken om toegang.
Welke maatregelen moeten worden genomen hangt onder andere af van de aard van de gegevens die worden doorgegeven en het land waar de gegevens naar worden doorgegeven. Als geen aanvullende maatregel geschikt is, kan de doorgifte van persoonsgegevens niet plaatsvinden. Ook voor de beoordeling van de aanvullende maatregelen geldt dat een zorgvuldige afweging moet plaatsvinden en dat deze moet worden gedocumenteerd.
Stap 5 – Passende waarborgen toepassen.
Deze vijfde stap houdt in dat de gegevensexporteur en -importeur alle procedurele formaliteiten moet vervullen om de passende waarborgen in te voeren zoals de SCC’s uitvoeren, een bevoegde EU-gegevensbeschermingsautoriteit raadplegen et cetera.
Stap 6 – Evaluatie
Gegevensexporteurs moeten de ontwikkelingen in de gaten houden en beoordelen of de doorgifte nog steeds kan plaatsvinden op een wijze dat het beschermingsniveau gewaarborgd is. Dit geldt ook als de doorgifte plaatsvindt op basis van een adequaatheidsbesluit, aangezien deze van tijd tot tijd door de Commissie van de EU opnieuw kunnen worden beoordeeld.
Tot slot
De aanbevelingen zijn nog in consultatie tot 30 november 2020. Daarna worden de definitieve aanbevelingen aangenomen. In de tussentijd werkt de Europese Commissie aan nieuwe sets SCC’s. Deze sluiten beter aan bij de AVG en bij de wijze waarop doorgiftes in de praktijk plaatsvinden. Een eerste versie hiervan is op 12 november 2020 naar buiten gebracht.
De komende tijd zullen toezichthouders, gegevensimporteurs- en exporteurs invulling gaan geven aan de aanbevelingen van de EDPB. Wilt u hierover meer weten, neem dan contact op met Eva de Vries.
