Inleiding

Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie in de Schrems II-uitspraak het Privacy Shield ongeldig verklaard. De bescherming van de persoonsgegevens in de Verenigde Staten zou volgens het Hof zodanig tekortschieten ten opzichte van de bescherming van persoonsgegevens onder de Algemene Verordening Gegevensbescherming, dat deze afbreuk onvoldoende werd ondervangen door het Privacy Shield. Het directe gevolg van deze uitspraak is dat veruit het grootste deel van de persoonsgegevensuitwisselingen met de VS van het ene op het andere moment niet meer rechtmatig plaats vonden. Indien uw onderneming bijvoorbeeld cloudopslag of e-mailmarketing diensten afneemt van een Amerikaanse provider, dan is de kans groot dat u door deze uitspraak wordt geraakt.

Het Hof heeft echter geoordeeld dat persoonsgegevens nog wel naar de VS kunnen worden doorgegeven indien de gegevensexporteur en de gegevensimporteur gebruik maken van standaard contractuele bepalingen (ook wel: standard contractual clauses of SCC’s) of bindende bedrijfsvoorschriften (ook wel: binding corporate rules of BCR’s). Het Hof heeft benadrukt dat het aan de gegevensexporteur en gegevensimporteur is om te beoordelen of het derde land van bestemming vanuit het oogpunt van het Unierecht een passende bescherming biedt voor de persoonsgegevens die worden doorgegeven. Indien dat niet het geval is, rust op partijen de verplichting om aanvullende maatregelen op te nemen zodat die bescherming alsnog wordt geboden.

De European Data Protection Board (“EDPB”) heeft recent (concept)aanbevelingen in de vorm van een stappenplan gepubliceerd aan de hand waarvan u kunt beoordelen of, en zo ja hoe, doorgifte van persoonsgegevens naar een derde land, waaronder de VS, legitiem kan plaatsvinden. In dit blog hebben wij een korte samenvatting voor u gemaakt van dit stappenplan.

Stap 1: Breng uw doorgiften in kaart

De eerste stap voor u als gegevensexporteur betreft het in kaart brengen van uw doorgiften. Door duidelijk voor ogen te hebben aan welke (derde) landen u data doorgeeft, kunt u per doorgifte beoordelen of de persoonsgegevens in de (derde) landen een gelijkwaardig niveau van bescherming genieten.

Daarnaast kunt u door het in kaart brengen van uw doorgiften (her)beoordelen of uw doorgiften voldoen aan de beginselen van de AVG, zoals dataminimalisatie en doelbindingen. De EDPB geeft aan dat bij deze eerste stap het verwerkingsregister als uitgangspunt kan worden genomen.

Stap 2: Controleer het instrument voor doorgifte

De tweede stap betreft het controleren van het instrument voor doorgifte. Na het in kaart brengen van uw doorgiften, bent u in staat om voor iedere doorgifte na te gaan of:

1. voor het ontvangende land een adequaatheidsbesluit is gegeven, of, bij het ontbreken van een dergelijk besluit;
2. de doorgifte op basis van een ander instrument legitiem kan worden uitgevoerd.

Indien er geen adequaatheidsbesluit geldt op grond waarvan uw doorgifte geoorloofd is, kunt u mogelijk voor een ander instrument kiezen om uw doorgifte te legitimeren zoals, standaard contractuele bepalingen of bindende bedrijfsvoorschriften.

Stap 3: Beoordeel de wettelijke regelingen in het derde land

De derde stap betreft het beoordelen van de wettelijke regelingen in het derde land. Deze stap is noodzakelijk indien u onder stap 2 heeft vastgesteld dat er géén adequaatheidsbesluit is gegeven voor het (derde) land waaraan u persoonsgegevens doorgeeft.

De beoordeling van de wettelijke regelingen moet voornamelijk gericht zijn op het onderzoeken of er mogelijke afbreuk wordt gedaan aan het Europese niveau van gegevensbescherming onder de AVG. Hierbij kan onder andere worden gedacht aan de eventuele overheidssurveillance.

De EDPB benadrukt dat deze stap zorgvuldig moet worden uitgevoerd en gedocumenteerd. De gegevensexporteur mag bij de beoordeling niet vertrouwen op subjectieve factoren en doet er veelal verstandig aan om bij de gegevensimporteur informatie in te winnen over de geldende wet- en regelgeving omdat laatstgenoemde daar veelal beter van op de hoogte zal zijn.

Stap 4: Neem aanvullende maatregelen

Indien uit uw beoordeling onder stap 3 blijkt dat de wet- en regelgeving van het derde land afbreuk doet aan het Europese niveau van bescherming, dan dient u aanvullende maatregelen te treffen om alsnog een gelijkwaardig niveau van bescherming van de betreffende persoonsgegevens te realiseren.

Om u op weg te helpen heeft de EDPB een (niet-uitputtende) lijst met voorbeelden van mogelijke aanvullende maatregelen opgenomen die in dit kader getroffen kunnen worden. De genoemde aanvullende maatregelen worden onderverdeeld in drie categorieën:

1. technische maatregelen (bijvoorbeeld encryptie, pseudonimisering en/of split-/multiparty processing);
2. aanvullende contractuele maatregelen (bijvoorbeeld een contractuele verplichting voor de ‘gegevensimporteur’ met betrekking tot hoe om te gaan met een bevel tot inzage van data door autoriteiten);
3. organisatorische maatregelen (bijvoorbeeld de implementatie van een strikt gegevensbeveiligings- en gegevensprivacybeleid zoals een ISO-standaard).

De EPDB merkt op dat sommige aanvullende maatregelen in bepaalde landen doeltreffend kunnen zijn, maar in andere niet. Ook wordt opgemerkt dat het zo kan zijn dat geen enkele aanvullende maatregel een in wezen gelijkwaardig beschermingsniveau kan garanderen. In die gevallen waarin geen maatregel geschikt is, dient de doorgifte (al dan niet tijdelijk) beëindigd te worden.

Stap 5: Het nemen van procedurele stappen

Een (eventuele) vijfde stap is het nemen van formele procedurele stappen die samenhangen met de gekozen aanvullende maatregelen. In voorkomende gevallen dient bijvoorbeeld toestemming gevraagd te worden aan de (leidende) privacytoezichthouder. Dit is bijvoorbeeld het geval wanneer een getroffen aanvullende maatregel met zich meebrengt dat gehandeld wordt in strijd met standaard contractuele bepalingen.

Stap 6: Evalueer regelmatig

De zesde en laatste stap is dat u met passende tussenpozen het beschermingsniveau van de persoonsgegevens die u naar derde landen doorgeeft opnieuw evalueert. U dient met enige regelmaat na te gaan of er zich ontwikkelingen hebben voorgedaan die van invloed kunnen zijn op de bescherming van de persoonsgegevens zodat u een aan de EU gelijkwaardig niveau houdt.

Conclusie

Met het publiceren van deze aanbeveling (die overigens nog tot 30 november 2020 staat voor publieke consultatie en dus hoogstwaarschijnlijk op punten nog zal wijzigen), heeft het EDPB een aantal concrete handvatten willen bieden om te bepalen of en hoe doorgiften naar derde landen, waaronder de VS plaats kunnen vinden. Ons inziens is dat betrekkelijk goed gelukt. Daarbij merken wij wel op dat het voor een individuele gegevensexporteur een bijzonder lastige, tijdrovende en vooral ook kostbare klus zal zijn om van een derde land te bepalen of, en op welke wijze, dit land afbreuk doet aan het Europese niveau van gegevensbescherming.

Een even zo grote uitdaging biedt de volgende stap waarin bepaald dient te worden welke aanvullende maatregelen moeten worden genomen om alsnog een gelijkwaardig niveau te bereiken. De aanbevelingen zijn dan ook allerminst een “quick-fix” voor de problemen die als gevolg van Schrems II zijn ontstaan.

Heeft u vragen over het stappenplan? Neem dan contact op met Hester Ellemers.