Eindelijk! Aanbevelingen EDPB voor gegevensexport na Schrems II

Het heeft even geduurd, maar de European Data Protection Board (EDPB) heeft onlangs enkele aanbevelingen gedeeld naar aanleiding van de gevolgen van het Schrems II arrest begin deze zomer. We schreven een tijdje geleden al twee blogartikels over de gevolgen van dit arrest. In het eerste artikel gaven we ondernemingen alvast de eerste handvaten om juridische risico’s te voorkomen. Het tweede artikel bestond uit 7 pragmatische stappen voor gegevensexport naar derde landen (in het bijzonder de VS). Nu toetsen we de nieuwe aanbevelingen van de EDPB aan ons eerder advies.

SchremsII_aanbevelingen_EDPB

Aanvullende maatregelen voor gegevensexport

Wanneer persoonsgegevens buiten de Europese Economische Ruimte (EER) geëxporteerd worden, moet er in het land van aankomst een evenwaardige bescherming gelden zoals binnen de EER. Als onderneming kan je daarvoor beroep doen op een adequaatheidsbesluit van de Europese Commissie of gebruik maken van een aantal tools zoals de Standaard Contractuele Clausules (SCCs) en de Binding Corporate Rules (BCRs). Maar soms volstaan deze tools op zich niet en dan zijn er aanvullende maatregelen nodig. 

De EDPB raadt 6 stappen aan voor ondernemingen om te bepalen of en welke aanvullende maatregelen nodig zijn:

  • Weet welke gegevens je exporteert: hiermee verwijst de EDPB naar het dataregister. Deze stap komt overeen met de eerste stap uit onze blog. Daarnaast benadrukt de EDPB het belang om te controleren dat je enkel gegevens exporteert die toereikend, relevant en noodzakelijk zijn om je doel te bereiken;
  • Controleer de tool die gebruikt wordt om gegevens te exporteren: ook deze stap stemt overeen met onze eerdere blogs;
  • Beoordeel de juridische situatie in het derde land: deze stap werkt de EDPB verder uit in haar tweede aanbevelingen en zullen wij hieronder verder toelichten;
  • Identificeer en gebruik aanvullende maatregelen: als de vorige stappen onvoldoende bleken, is dit dé cruciale stap in het proces. We hadden het in onze eerdere blogs al over anonimisatie, pseudonimisatie, encryptie en andere aanvullende maatregelen. De EDPB vult deze nu aan met een lijst voorbeelden aan de hand van use cases. Het is van uitermate groot belang dat je voor elke maatregel steeds een beoordeling maakt of het in de concrete situatie wel doeltreffend is;
  • Procedurele stappen: de aanname van aanvullende maatregelen kan in sommige gevallen verdere procedurele stappen vereisen, zoals bijvoorbeeld de toestemming van de bevoegde gegevensbeschermingsautoriteit;
  • Monitoren, herevalueren en aanpassen: de aanname van aanvullende maatregelen of de keuze van een transfer tool is geen eenmalige opgave. Je zal de doeltreffendheid van beide consequent in de gaten moeten houden, herevalueren en eventueel nieuwe maatregelen aannemen.

Aanvullend op deze maatregelen blijven wij onze cliënten ook aanraden om een Data Exchange Vendor Assessment uit te voeren. Dit houdt in dat je je dienstverleners en contractpartijen in de derde landen allemaal contacteert om hen te informeren over het Schrems II arrest, de gevolgen ervan en hen vraagt een korte vragenlijst in te vullen. Wij hebben hiervoor een template gecreëerd die je gratis kan downloaden via deze link.

Uiteraard dien je de export stop te zetten als geen enkele maatregel doeltreffend is om een passend beschermingsniveau te garanderen.

Juridische situatie in het derde land

In haar tweede aanbeveling werkt de EDPB de derde stap van haar stappenplan verder uit. Net zoals in de vierde stap van onze eerdere blogs, moet je in deze stap de juridische situatie van het land waarnaar je de gegevens exporteert beoordelen. In het bijzonder of er elementen aanwezig zijn die ervoor kunnen zorgen dat de tool waarop je je baseert minder effectief wordt. 

De EDPB benadrukt vier essentiële garanties waar je rekening mee moet houden bij de evaluatie van het recht in het derde land:

  • Duidelijke, nauwkeurige en toegankelijke regels: de wetgeving van het derde land moet voor iedereen duidelijk zijn. In het bijzonder moet je kunnen bepalen onder welke voorwaarden een overheid inzage mag nemen in de geëxporteerde gegevens;
  • Noodzakelijkheid en evenredigheid: afwijkingen van en beperkingen op de bescherming kan persoonsgegevens kunnen alleen plaatsvinden als deze strikt noodzakelijk zijn om het doel te bereiken. De rechten van de individuen mogen ook niet zwaarder doorwegen dan het publiek belang waarvoor de afwijkingen en beperkingen plaatsvinden;
  • Onafhankelijk toezichtmechanisme: er moet een rechter of een ander soort van onafhankelijke instelling zijn die toezicht houdt op alle inzageverzoeken en andere inbreuken en afwijkingen. Daarvoor moet je in het bijzonder rekening houden met de omvang van de bevoegdheden van dit orgaan;
  • Effectieve remedies: ten laatste moet het individu zijn rechten werkelijk kunnen uitoefenen. Hij moet bijvoorbeeld toegang hebben tot een rechter om zich te verzetten tegen de beoogde verwerking.

Deze garanties bestonden al voor het Schrems II arrest, maar zijn nu verder uitgewerkt door de nieuwe rechtspraak.   

Concrete stappen naar aanleiding van de nieuwe maatregelen

Als je de stappen nog niet doorlopen hebt sinds onze laatste blog is het nu wel hoog tijd om dat wel te doen. Voor gegevensexport naar de VS zijn twee punten van buitengewoon belang: een gepaste tool gebruiken als rechtsgrond voor je gegevensexport en aanvullende maatregelen aannemen. Voor het eerste punt is het belangrijk om te weten dat de Europese Commissie een nieuwe versie van de SCCs heeft gedeeld voor publieke consultatie. Binnenkort verschijnt er een nieuwe blog op onze website waarin we de nieuwe SCCs vergelijken met de oude. Wij kunnen je altijd helpen als je feedback wil indienen op deze publieke consultatie. Het tweede punt is bij gegevensuitwisseling naar de VS sowieso vereist aangezien de Amerikaanse wetgeving nog niet veranderd is sinds het Schrems II arrest. Je mag ook een blog verwachten waar we aan de hand van een aantal use cases toereikende aanvullende maatregelen uitwerken.

Vragen over Schrems II? 

Je bent altijd welkom met al je vragen bij Bart Van den Brande via bart@siriuslegal.be of Matthias Vandamme via matthias@siriuslegal.be