Blog Gdpr compliance

 Bart Van den Brande

Opgelet: Nieuwe SCC's treden in werking op 27 september

We hebben op deze blog en in een aantal webinars al uitgebreid aandacht besteed aan de nieuwe Standard Contract Clauses of SCC’s van de Europese Commissie. Na het wegvallen van het EU-US Privacy Shield ingevolge het Schrems II arrest van het Europees Hof van Justitie moeten deze SCC’s de juridische basis vormen voor de meeste vormen van data export buiten de EU.  Die nieuwe SCC’s treden op 27 september in werking.  Nieuwe data transfers buiten de EU moeten vanaf dan gebeuren op basis van aangepaste contracten met de nieuwe standaard contractclausules.

17.06.2021 Bart Van den Brande

De nieuwe SCC's zijn beschikbaar: hoe pas je nu je data-export overeenkomsten aan?

Sinds het Schrems II arrest van afgelopen zomer, waarover we op onze blog al herhaaldelijk berichtten, is het exporteren van persoonsgegevens buiten de EU behoorlijk omslachtig geworden.  Vooral het wegvallen van het “Privacy Shield” tussen de EU en de VS zorgt voor heel wat complicaties en dwingt Europese bedrijven om op grote schaal Data Export Agreements af te sluiten met niet-Europese (meestal Amerikaanse) partners met daarin zogenaamde “Standard Contract Clauses”.  Dat zijn modeldocumenten die ter beschikking gesteld worden door de Europese Commissie om copy/paste in Data Export Agreements gestoken te worden en zo op contractueel niveau veilige export te garanderen.  

Populair artikel
26.04.2021 Bart Van den Brande

Data Export na Schrems II: stilaan meer duidelijkheid op basis van eerste beslissingen

Dat het Schrems II arrest van afgelopen zomer heel wat stof heeft doen opwaaien is een understatement.  Heel wat bedrijven zijn bijzonder ongerust over de impact van het wegvallen van het Privacy Shield tussen de VS en Europa en over de strengere interpretatie van data exportregels van de EU naar gebieden buiten de EU.  De recente Mailchimp beslissing, waarover we al eerder schreven op onze blogpagina’s heeft daarbij alleen maar olie op het vuur gegooid.

Maar gelukkig wordt de soep niet altijd zo heet gedronken als ze geschonken wordt.  Een recente beslissing van de Franse Conseil d’Etat maakt duidelijk dat het Schrems II arrest heus niet hoeft te betekenen dat Europese bedrijven helemaal geen beroep meer kunnen doen op niet-Europese (meestal Amerikaanse) dienstverleners.  Hoe zit de vork dan precies in de steel en wat moet je als ondernemer wel en niet doen?  Dat proberen we hieronder op een rijtje te zetten.

 

Hoe zat het ook weer met dat hele Schrems II verhaal?

Afgelopen zomer oordeelde het Europees Hof van Justitie in haar Schrems II-arrest dat het zogenaamde “Privacy Shield” dat de uitwisseling van persoonsgegevens van de EU naar de VS mogelijk maakte zonder bijkomende waarborgen of beperkingen in strijd was met het Europees recht en met name met GDPR.  Premisse van het Privacy Shield was immers de “belofte” van Amerikaanse bedrijven dat de persoonsgegevens van Europese burgers eenzelfde niveau van veiligheid zouden genieten in de VS als in de EU en dat uitgangspunt is de facto onmogelijk.  Amerikaanse veiligheidswetgeving, zoals bvb de FISA act, geven Amerikaanse inlichtingendiensten immers vergaande inzagerechten in (Europese of andere) datastromen die de VS binnenkomen.  Europese data is dus nooit echt “veilig” in de VS en die vaststelling betekende meteen ook het einde van het Privacy Shield.

De gevolgen hiervan zijn potentieel érg vergaand. Quasi alle software tools die Europese bedrijven vandaag gebruiken, zijn immers Amerikaans en aangezien de meeste daarvan tegenwoordig cloud services of online tools zijn, is er per definitie sprake van gegevensuitvoer naar de VS.

Het probleem werd enkel maar groter als we ook rekening houden met het feit dat het EHJ daar ook aan toevoegde dat wie data exporteert buiten de EU (ook naar andere bestemmingen dan de VS), meteen rekening moet houden met het feit dat de Standard Contract Clauses die de Europese Commissie zélf voorziet om veilige gegevensexport te garanderen tussen bedrijven en organisaties binnen en buiten de EU niet volstaan.

Het Schrems II-arrest zegt immers zeer duidelijk dat overdrachten van persoonsgegevens aan cloudserviceproviders in de Verenigde Staten geval per geval beoordeeld moeten worden en indien er een risico bestaat voor de integriteit van de betreffende gegevens, moeten bijkomende veiligheidswaarborgen voorzien worden.  Die aanvullende waarborgen dringen zich bij export naar de VS bijna automatisch op, gelet op de zeer vergaande onderzoeksbevoegdheden van de Amerikaanse inlichtingendiensten, bijvoorbeeld op grond van sectie 702 (50 USC § 1881a) van de Foreign Intelligence Surveillance Act (Cloud Services Act).

 

Dus geen data export meer naar de VS?

Wie vorige week ons blogartikel over het gebruik van Mailchimp gelezen heeft, zou de indruk kunnen hebben dat data export naar de VS vandaag onmogelijk geworden is als gevolg van het Schrems II arrest.  Dat is gelukkig echter niet het geval.

We gaven in dat artikel, net als in deze blog met een duidelijk 7 stappen plan voor data export, al mee dat heel veel afhankelijk is van jouw eigen specifieke context en de “gevoeligheid” van jouw data en we legden ook al uit dat het jouw taak is als ondernemer om een correcte inschatting te maken van die context en van de veiligheid van jouw data bij de ontvangende partij.  Om die veiligheid te verzekeren zal je zelf moeten zorgen voor gepaste “bijkomende veiligheidsmaatregelen” bovenop de standaard contractuele garanties die de ontvangende partij je moet geven in de vorm van zogenaamde “Standard Contract Clauses” (ook dit lees je in ons 7 stappen plan).  Eén van die bijkomende maatregelen kan bijvoorbeeld de voorafgaande encryptie van je data zijn, zodat ze aan de ontvangende zijde niet kan uitgelezen worden.

Als je bovenstaande graag rustig uitgelegd ziet, kan je overigens terecht op ons Youtube kanaal. Je vindt er de opname van een recent Schrems webinar waarin we samen met onze partners van de IT & Data Protection Practice Group van Consulegis een overzicht geven van internationale data export en de impact van Schrems II vanuit Amerikaans, Indisch, Brits en Europees perspectief.

 

En wat heeft de Franse Raad van State hiermee te maken?

We begonnen ons verhaal met de melding dat de Franse Raad van State zopas verduidelijkte dat Europese bedrijven wel degelijk nog kunnen samenwerken met Amerikaanse partners in het kader van verwerking van persoonsgegevens. Tijd dus om even te kijken wat de Conseil d’Etat in Frankrijk precies gezegd heeft…

De Franse regering werkt al een hele tijd aan een nationaal platform voor de verwerking van medische gegevens van Franse burgers, een beetje zoals het eHealth platform bij ons in België.  Dat Franse platform heet Doctolib en het staat ondermeer in voor het boeken van afspraken voor Covid-19 vaccinaties.

De servers van Doctolib worden, zoals ongeveer 33% van alle serverruimte in Europa, gehost door het Luxemburgse Amazon Web Services (AWS). De servers van AWS staan weliswaar in Frankrijk en Duitsland, maar AWS is wel een onderdeel van de Amerikaanse Amazon-groep. De vaststelling dat de gezondheidsgegevens van miljoenen Franse burgers verwerkt zouden worden op een platform dat gehost wordt door (de dochteronderneming van) een Amerikaans bedrijf, zorgde voor behoorlijk wat onrust in Frankrijk en leidde uiteindelijk tot een procedure voor de Raad van State in een poging om die beslissing teniet te doen en de Franse overheid te dwingen een Europees alternatief te kiezen.

De Conseil d’État wees echter het verzoek tot opschorting van het partnership tussen de Frase overheid en Doctolib af. 

De Raad van State zegt daarbij 3 belangrijke dingen:

  1. Het loutere feit dat er samengewerkt wordt met een Amerikaans bedrijf betekent niet dat er per definitie sprake is van data export naar de VS.  In casu staan alle servers in de EU.  Die vaststelling is meteen een hele geruststelling voor de miljoenen Europese bedrijven en zelfstandigen die werken met software van bijvoorbeeld Microsoft of Google of die serverruimte hebben bij AWS, Azure of Google Cloud Services.  Dat zijn stuk voor stuk Amerikaanse bedrijven, maar daarom is er nog niet automatisch sprake van data export.  Het feit dat bijvoorbeeld Google haar klanten zelf laat kiezen voor opslag in de Amerikaanse, Europese of binnenkort ook Russische Google cloud, is wat dat betreft een hele geruststelling. 
  2. De Franse Raad van State zegt er wél meteen bij dat er wel degelijk een (potentieel) risico bestaat op toegang door Amerikaanse wetshandhavingsinstanties tot de persoonsgegevens die op Europese servers van een Amerikaans bedrijf (of haar dochteronderneming) staan.  Amerikaanse veiligheidswetgeving is immers ook van toepassing op Amerikaanse bedrijven buiten de VS.  Dat is dan weer minder goed nieuws voor diezelfde miljoenen Europese bedrijven die samenwerken met Amerikaanse suppliers…
  3. Vervolgens stellen de rechters vast dat de Franse staat een voldoende risico-analyse gemaakt heeft en voor voldoende juridische en technische “bijkomende waarborgen” gezorgd heeft om de uitwisseling van persoonsgegevens met een Amerikaans bedrijf toch te rechtvaardigen.  Het contract tussen Doctolib en AWS voorziet bijvoorbeeld dat AWS elk algemeen inzageverzoek (van de Amerikaanse overheid) zou weigeren en aanvechten. Op technisch vlak is bovendien sprake van vergaande encryptie van alle bij AWS gehoste data en dat de sleutel wordt bewaard door een vertrouwde derde partij in Frankrijk (en niet door AWS zélf, dat eventueel gedwongen zou kunnen worden om de sleutel uit handen te geven aan de Amerikaanse overheid).

 

Wat leren we hieruit?

Hoewel deze zaak geen betrekking heeft op de doorgifte van persoonsgegevens naar de VS, toont het arrest in elk geval wél aan dat Schrems II, volgens de hoogste Franse rechtbank, EU-bedrijven niet per definitie verbiedt om samen te werken met Amerikaanse aanbieders van clouddiensten. De uitspraak illustreert vooral de noodzaak tot grondig voorafgaand onderzoek én tot het nemen van voldoende bijkomende waarborgen om dataveiligheid te garanderen.  Tegelijk geeft het arrest ook aan dat zulke garanties niet alleen absoluut nodig zijn als data effectief getransfereerd wordt naar de VS, maar dat ze ook aangewezen (kunnen) zijn in situaties waarin samengewerkt wordt met Europese dochterondernemingen en waarin de data wel in de EU gehost wordt of althans waar gezegd wordt dat dat zo is (let wat dat betreft op de kleine lettertjes, die vaak uitzonderingen voorzien voor noodgevallen ,waarbij data toch omgeleid of in back-up gezet kan worden buiten de EU…)

 

Vragen over GDPR, data export of gegevensbescherming in het algemeen?

We maken graag tijd voor je.  Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.

Populair artikel
07.04.2021 Bart Van den Brande

De Duitse Mailchimp beslissing maakt de impact van het Schrems II-arrest op data export pijnlijk duidelijk

Een recente beslissing van de Beierse gegevensbeschermingsautoriteit doet grote twijfel rijzen over de vraag of het populaire e-mailmarketingplatform MailChimp volgens de GDPR wel legaal gebruikt kan worden.  

Bij uitbreiding stelt hetzelfde probleem zich voor bij quasi alle Amerikaanse softwaretoepassingen die persoonsgegevens van EU-burgers verwerken.  Data Export naar de VS is immers sinds afgelopen zomer niet meer mogelijk onder het door het Europees Hof van Justitie vernietigde Privacy Shield en ook het gebruik van Standard Contract Clauses als alternatief blijkt -en dat is voor gegevensbeschermingsspecialisten niet verbazend- zeer moeilijk te liggen omdat het Europees hof van Justitie in dat geval de bijkomende verplichting oplegt om individueel en geval per geval te onderzoeken of bijkomende veiligheidsmaatregelen nodig zijn.  

Precies dat laatste probleem komt nu naar boven in de beslissing over Mailchimp uit Beieren.

 

Data export?

De impact van het Schrems II-arrest van het Europese Hof van Justitie van afgelopen zomer laat zich steeds harder voelen.  Voor heel wat bedrijven was het toch even in de haren krabben vorig jaar, toen het Europese Hof het Privacy Shield tussen de VS en de EU (de EER eigenlijk) onderuit haalde.  Quasi alle software tools die Europese bedrijven vandaag gebruiken, zijn immers Amerikaans en aangezien de meeste daarvan tegenwoordig cloud services of online tools zijn, is er per definitie sprake van gegevensuitvoer naar de VS.

Het probleem werd enkel maar groter als we ook rekening houden met het feit dat het EHJ daar ook aan toevoegde dat wie data exporteert buiten de EU (ook naar andere bestemmingen dan de VS), meteen rekening moet houden met het feit dat de Standard Contract Clauses die de Europese Commissie zélf voorziet om veilige gegevensexport te garanderen tussen bedrijven en organisaties binnen en buiten de EU niet volstaan.

Het Schrems II-arrest zegt immers zeer duidelijk dat overdrachten van persoonsgegevens aan cloudserviceproviders in de Verenigde Staten geval per geval beoordeeld moeten worden en indien er een risico bestaat voor de integriteit van de betreffende gegevens, moeten bijkomende veiligheidswaarborgen voorzien worden.  Die aanvullende waarborgen dringen zich bij export naar de VS bijna automatisch op, gelet op de zeer vergaande onderzoeksbevoegdheden van de Amerikaanse inlichtingendiensten, bijvoorbeeld op grond van sectie 702 (50 USC § 1881a) van de Foreign Intelligence Surveillance Act (Cloud Services Act).

Gebruik van Mailchimp niet OK?

Het klinkt bijna absurd, maar de Beierse gegevensbeschermingsautoriteit (Bayerisches Landesamt für Datenschutzaufsicht) heeft eerder deze maand een Europees online tijdschrift het verbod opgelegd om nog langer Mailchimp te gebruiken om haar newsletters uit te sturen. Meer info vind je op deze link

De reden? Wel, wie Mailchimp gebruikt om nieuwsbrieven te versturen, stuurt persoonsgegevens (bijv. e-mailadressen en namen van ontvangers) naar de servers van Mailchimp in de Verenigde Staten en dat is potentieel niet OK.

De Beierse gegevensbeschermingsautoriteit motiveerde haar beslissing met de vaststelling dat het bedrijf niet voorafgaand had onderzocht of er aanvullende waarborgen nodig waren voor het doorgeven van persoonsgegevens aan Mailchimp, met name omdat Mailchimp mogelijk onderworpen is aan de Cloud Services Act. 

Let wel op de belangrijke nuance dat De Beierse gegevensbeschermingsautoriteit niet oordeelde niet dat MailChimp an sich per se onwettig is.  In plaats daarvan oordeelde het dat in dit specifieke geval het gebruik van MailChimp door het bedrijf in kwestie onwettig was omdat het bedrijf niet voorafgaand had beoordeeld of er adequate aanvullende maatregelen waren getroffen om ervoor te zorgen dat haar persoonsgegevens beschermd waren tegen toegang door Amerikaanse toezichthoudende instanties. 

 

Bijkomende waarborgen?

Het is inderdaad zo dat je als Europees bedrijf eigenlijk, volgend op het al geciteerde Schrems II arrest, al enige tijd geleden moest overgaan tot een interne data-export audit of een “vendor assessment” om achtereenvolgens in te schatten:

  • Of er sprake is van gegevensuitwisseling buiten de EU/EER
  • Of er een gepaste rechtsgrond voor handen is conform Hoofdstuk V GDPR (standard contract clauses, binding corporate rules of één van de andere minder gangbare en evidente rechtsgronden)
  • Wat de gevoeligheid is van de betreffende data en of de data-export an sich wel te verantwoorden is
  • Of bijkomende waarborgen zich al dan niet opdringen aan de zijde van de uitvoerder of van de ontvanger
  • Meer algemeen ook, of de ontvanger GDPR compliance kan garanderen

Die oefening dient, vanuit het oogpunt van het verantwoordingsprincipe onder GDPR vanzelfsprekend gedocumenteerd te worden en het is precies daarom dat wij bij Sirius Legal al sinds september een gratis Data Export Impact Assessment formulier ter beschikking stellen op onze website.  Dat formulier is inmiddels honderden keren gedownload door bedrijven uit gans Europa, overigens.

Welke bijkomende maatregelen zich eventueel opdringen, is overigens al een poos geleden opgelijst door de EDPB in haar “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” van 10 november 2020.  In dit document worden verschillende data export scenario’s voorgesteld en wordt telkens case by case aangegeven hoe gezorgd kan worden voor veilige uitwisseling van persoonsgegevens of welke werkwijze zeker niet voldoende veilig is.  

De steeds terugkerende boodschap in dat document is overigens de noodzaak om over te gaan tot encryptie van persoonsgegevens alvorens ze uit te voeren en om daarbij gebruik te maken van eigen (bij voorkeur Europese) encryptietechnieken voorafgaand aan de export en los van de eigen encryptie die platformen of tools standaard aanbieden.  

Ook het gebruik van Mailchimp valt binnen deze context.  Persoonsgegevens worden immers uitgevoerd naar de VS, waar Mailchimp onder de FISA wetgeving als een telecomprovider beschouwd wordt, die potentieel inzage moet geven in zijn klantengegevens aan de Amerikaanse overheid.  Encryptie dringt zich dan op.  Alleen… het gebruik van Mailchimp laat zo’n encryptie eigenlijk technisch gezien niet toe en de facto kan een Europees bedrijf Mailchimp dus niet rechtsgeldig gebruiken…

 

Mailchimp als Wake-up call?

Tot nu toe leek het erop dat de Europese gegevensbeschermingsautoriteiten voorlopig een oogje dicht knepen en een soort van onofficiële uitstelperiode hadden gegeven aan Europese bedrijven en organisaties om zich aan te passen aan de gewijzigde juridische situatie na het Schrems II arrest.  Dit had zeker ook te maken met het feit dat de al genoemde Standard Contract Clauses precies op dit ogenblik vernieuwd worden door de Europese Commissie.

Het optreden van de Beierse gegevensbeschermingsautoriteit toont nu echter aan dat de speeltijd nu wel degelijk ten einde is en dat bedrijven echt zullen moeten zorgen voor een veilige uitwisseling van persoonsgegevens met hun niet-Europese partners. In een persbericht bij de Mailchimp-beslissing merkte de autoriteit op dat deze zaak in haar ogen een voorbeeld is voor de wijze waarop het Schrems II-arrest in praktijk gehandhaafd zal worden. 

 

Is jouw software “data export compliant”?

De pijnlijk problematische vaststelling is dat geen enkele Amerikaanse softwaretoepassing op heden helemaal “GDPR compliant” werkt.

We deden zelf bij Sirius Legal de voorbije maanden een benchmark test bij 10 van de meest bekende marketingtools, waaronder Mailchimp, Sharpspring, Hubspot, Active Campaign, Salesforce en enkele anderen.  De vaststelling is dat de meeste van deze -stuk voor stuk Amerikaanse- aanbieders de voorbije maanden zich wel aangepast hebben in die zin dat zij niet langer het Privacy Shield inroepen als rechtsgrond, maar nu wel verwijzen naar Standard Contract Clauses, maar dat zij toch ook allemaal nog steeds verschillende tekortkomingen vertonen op het vlak van data-export verplichtingen:

  • In een aantal gevallen zijn de Standard Contract Clauses onvindbaar of niet beschikbaar
  • De meeste aanbieders voorzien ofwel geen ofwel slechts zeer algemene en vage “bijkomende waarborgen”
  • Zowat alle aanbieders doen op hun beurt beroep op subverwerkers, waarvan noch de identiteit, noch de locatie voldoende duidelijk is en waarvan weinig of geen garantie bestaat op GDPR en data-export compliance bij de betrokken subverwerker   

Hetzelfde geldt bij uitbreiding voor andere niet-Europese clouddiensten of online toepassingen.  Het is bijna per definitie zo dat die niet (helemaal) GDPR compliant werken en dat elk gebruik ervan een voorafgaande audit en eventueel het voorzien van bijkomende technische of organisatorische waarborgen vereist.

 

Kan je dan als Europees bedrijf helemaal geen Amerikaanse of andere niet-Europese services meer gebruiken?  

Zo’n vaart loopt het gelukkig niet en die conclusie zou ook absurd zijn in de huidige geglobaliseerde samenleving en economie waarin wij ons allemaal begeven.

In de Mailchimp-zaak was het probleem evident duidelijk, omdat het bedrijf in kwestie blijkbaar helemaal geen voorafgaande risk assessment gemaakt had om te documenteren of aanvullende waarborgen nodig waren.  Dat op zich was al voldoende om deze beslissing uit te lokken.  

Toekomstige zaken zullen wellicht minder voor de hand liggend tot een sanctie leiden, als je tenminste als EU-bedrijf een goed onderbouwde en gedocumenteerde voorafgaande risico-analyse gemaakt hebt of zelfs aanvullende waarborgen hebt geïmplementeerd.  Welke maatregelen in welke context “voldoende” zullen zijn, zal pas duidelijk worden als er voldoende rechtspraak voorhanden zal zijn, maar het is evident dat de “gevoeligheid” van de data en het risico op inzageverzoeken vanuit het buitenland meespelen.  Een mailinglijst voor een juridisch weekblad lijkt in die context veel minder problematisch dan de ledenlijst van een politieke partij en in dat eerste geval kan een goed onderbouwde voorafgaande inschatting wellicht (?) wel volstaan…

Deze beslissing is echter een waarschuwing voor alle bedrijven en organisaties in Europa over het belang van gepaste zorgvuldigheid bij de overdracht van persoonsgegevens buiten de EU.  Je kan als bedrijf maar best dringend aan de slag met een strenge en grondige interne auditoefening op basis waarvan je kan aantonen dat je hebt beoordeeld of jouw data al dan niet in handen kunnen komen van derden en met name van buitenlandse overheden als je gebruik maakt van niet-Europese toepassingen.

Gebruik hiervoor eventueel ons gratis Data Export Impact Assessment formulier om de nodige informatie te verzamelen bij je niet-Europese partners.  Hoe er ook rekening mee dat als een leverancier geen informatie kan of wil verstrekken om jou te helpen de potentiële risico’s goed in te schatten, je noodgedwongen zal moeten afwegen of je nog langer kan samenwerken en dat je dus in het ergste geval effectief op zoek moet naar een alternatieve (bij voorkeur Europese) partner…

 

Wil je meer weten over de praktische impact van Schrems II?

Wie meer wil weten, kan terecht bij bart@siriuslegal.be of kan hier rechtstreeks een online kennismaking inboeken via Google Meet.

Of beter nog, schrijf in voor het Schrems II webinar van ons internationale contactennetwerk Consulegis The Practical Impact of Schrems II on International Data Flows  op 14 april.  Sprekers uit de EU (waaronder Bart Van den Brande voor Sirius Legal), het VK, de VS en Indië bespreken er alle juridische en praktische gevoeligheden van internationale datastromen en maken tijd vrij voor al jouw vragen en bezorgdheden. 

 

Overigens, als je dit leest vanuit onze Mailchimp newsletter: ja, ook wij beraden ons op heden actief over hoe we verder kunnen werken en intern is de beslissing genomen om in de loop van het voorjaar over te stappen naar een andere provider.  Lead by example is een credo dat ons niet vreemd is.

31.03.2021 Bart Van den Brande

Wetsontwerp wil "privacy rulings" invoeren naar analogie met fiscale rulings

De GDPR is inmiddels 5 jaar in werking en de voorbije 3 jaar, sinds mei 2018, wordt de inhoud ervan ook effectief afgedwongen door de overheid.

Ook na al die tijd blijkt elke dag opnieuw dat ondernemers de regels rond gegevensbescherming onduidelijk, vaag en moeilijk te begrijpen vinden en onze ervaring leert dat heel wat goedbedoelende ondernemers afhaken bij gebrek aan begrip van wat er van hen precies verwacht wordt.  Het ganse uitgangspunt van GDPR is dan ook in wezen een open deur naar onzekerheid en toekomstige risico’s: ondernemingen moeten een gepast niveau van veiligheid voorzien en moeten daarvoor gepaste maatregelen nemen, maar voorafgaand is er geen enkele manier om te weten of de maatregelen die zij zich voornemen inderdaad “gepast” zijn.  De beoordeling naar het eventuele tekortschieten van de ondernemer in kwestie gebeurt pas post factum, als er op een later ogenblik klachten, controles of datalekken optreden…  Een en ander is erg moeilijk te begrijpen voor ondernemers, die immers in hun dagelijkse activiteit precies proberen om zoveel mogelijk onzekere factoren uit te schakelen en onzichtbare risico’s te vermijden.

Webbouwers, app-ontwikkelaars of online marketeers stellen ons daarbij zeer regelmatig de vraag of zij hun plannen voorafgaand kunnen voorleggen aan de Gegevensbeschermingsautoriteit voor advies en goedkeuring, zoals dat ook in fiscale aangelegenheden kan.

Tot op vandaag kan dat niet, maar een recent wetsontwerp lijkt daar verandering in te gaan brengen.

 

Voorafgaand privacy advies

Voorafgaand advies van de GBA over voorgenomen verwerkingen, laat staan de expliciete validatie ervan, is vandaag in se onmogelijk.  GDPR voorziet zulks niet expliciet en ook de Belgische kaderwet voorziet niet in een formele procedure.  Wie geluk -en de juiste begeleiding- heeft kan soms wel informeel bij de GBA terecht, maar die informele akkoorden worden niet gepubliceerd en zelfs als ze dus één specifiek bedrijf vooruit helpen, zijn andere verantwoordelijken of verwerkers dus vaak niet op de hoogte van precedenten en kunnen zij er zich niet op baseren of beroepen.

Een recent wetsvoorstel vanuit CD&V-hoek wil daar verandering in brengen.  Het idee is om een systeem van voorafgaande beslissingen in te bouwen in de Belgische Kaderwet waardoor de Gegevensbeschermingsautoriteit in individuele gevallen kan bepalen hoe de gegevensbeschermingswetgeving zal worden toegepast op een specifieke situatie of beoogde verwerking van persoonsgegevens.  Het voorstel voorziet daarvoor in een raadplegingsprocedure die maximaal drie maanden zou duren.  Zo’n ruling geeft rechtszekerheid aan de aanvrager, want zij verbindt alle diensten van de Gegevensbeschermingsautoriteit. Een voorafgaande beslissing zou de Gegevensbeschermingsautoriteit voor de toekomst verbinden.

De indieners verwijzen in hun voorstel naar succesvolle proefprojecten in het Verenigd Koninkrijk met de zogenaamde “regulatory sandboxes”.  Sinds maart 2019 biedt de Britse toezichthouder  (Information Commissioner’s Office) een nieuwe dienst aan, die is ontworpen om organisaties te ondersteunen die innovatieve en maatschappelijk nuttige projecten ontwikkelen waarbij er een gebruik van persoonlijke gegevens is.  Organisaties die deelnemen aan de sandbox kunnen profiteren van de mogelijkheid om rechtstreeks met de toezichthouder in contact te treden over innovatieve projecten met complexe gegevensbeschermingskwesties.

Persoonlijk kunnen wij dit voorstel enkel zeer hard toejuichen.  Als het uiteindelijk aangenomen wordt, zal het voor héél veel ondernemers de kans bieden om vooraf zekerheid te krijgen over hun plannen en op die manier onnodige juridische en financiële risico’s te vermijden.  Een en ander kan alleen maar het algemene niveau van GDPR compliance bij Belgische ondernemingen vergroten.

Het is nu vanzelfsprekend wachten op een eventueel politiek akkoord om dit voorstel ook effectief goed te keuren. Wij houden dit in elk geval stipt in de gaten en zorgen voor de nodige info en uitleg op onze blogpagina zodra alles definitief zou zijn.

 

Maar zo’n rulings bestaan eigenlijk wél al voor een stukje…

Zo’n voorafgaande consultatie en “ruling” bestaat vandaag overigens eigenlijk wel degelijk al wél onder GDPR.   Artikel 35 voorziet immers dat de verantwoordelijke voor de verwerking die een voorafgaande Gegevensbeschermingseffectenbeoordeling of Data Protection Impact Assessment voert en op het eind daarvan vaststelt dat er een restrisico bestaat, verplicht is om het voorafgaande en bindende advies van de GBA in te winnen.

Alleen is de vaststelling dat de meerderheid van de Belgische ondernemingen hun verplichtingen onder artikel 35 niet kennen of deze -erger nog- bewust naast zich neerleggen, waardoor de GBA nauwelijks verzoeken tot voorafgaande raadpleging ontvangt.

Wie meer wil weten over Data Protection Impact Assessments kan overigens terecht op ons Youtube kanaal voor de opname van één van onze recente webinars precies over DPIA’s:  https://youtu.be/y66jmrYeQWU

 

Meer weten over GDPR en databescherming? Heb je zelf een project waarvoor je wel privacy advies wil inwinnen? 

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail  (bart@siriuslegal.be) of per telefoon op  +32 492 249 516

Populair artikel
22.03.2021 Bart Van den Brande

Waarom Clubhouse het zoveelste voorbeeld is van bedrijven die jouw en mijn privacy niet ernstig nemen

Om de zoveel tijd duikt er tegenwoordig een nieuw social mediaplatform op dat volgens insiders en early adopters het internet gaat veranderen.  

Het succes van de Snapchats en TikToks in deze wereld heeft twee dingen gemeen: enerzijds taant hun succes even snel als dat hun hype begonnen is en anderzijds -en daarin ergert de privacy voorvechter in mij zich blauw aan- blijkt telkens weer dat de bedrijven achter de apps het alles behalve nauw nemen met jouw en mijn privacy.  In sommige gevallen lijkt dit vooral een gevolg van een totaal gebrek aan kennis van en inzicht in (Europese of andere) gegevensbeschermingsregels, maar even vaak blijft toch vooral de indruk achter dat het ganse businessmodel van social mediabedrijven gebouwd is op ongebreidelde datacollectie tot meerdere eer en glorie van de advertentieprofielen die uit die data gedistilleerd kunnen worden.

 

Schoolboek marketingklassiekers

De laatste ster aan het social mediafirmament is Clubhouse, een audiodiscussieapp waar je alleen na een uitnodiging door één van je vrienden mee aan de slag kan. 

De makers achter Clubhouse hebben met andere woorden enkele marketingklassiekers uit de kast gehaald om van hun nieuwe product een succes  te maken: kunstmatige schaarste creëren door de toegang tot je product te beperken en rekenen op het ego van de happy few om de hype aan te wakkeren en de massa reikhalzend te laten uitkijken naar het moment dat ook zij opgenomen worden in the inner circle.  Het lukte destijds al op speelplaatsen overal ter wereld met de zeldzame Pikachukaartjes en ook vandaag nog vallen we met zijn allen voor dezelfde verhalen…

 

Over privacy en GDPR…

Maar ook Clubhouse blijkt in hetzelfde bedje ziek te zijn als zovele andere succesverhalen uit je favoriete lokale appstore.  De marketingstrategie is weldoordacht, maar bij het respect voor jouw en mijn privacy heeft niemand echt lang stil gestaan. 

Het hoeft dan ook niet te verwonderen dat Clubhouse intussen het voorwerp uitmaakt van onderzoeken door verschillende Europese privacyoverheden.  Zowel de Franse CNIL als de deelstatelijke DPA in Hamburg, de HmbBfDI onderzoeken op dit ogenblik de manier waarop Alpha Exploration Co., het Amerikaanse bedrijf achter Clubhouse omgaat met persoonsgegevens van haar gebruikers én van derden.  

In Frankrijk is het onderzoek overigens een gevolg van een petitie tegen Clubhouse die inmiddels meer dan 10.000 handtekeningen verzamelde.  Wie zich de miljoenenboetes in Frankrijk voor Google en Amazon afgelopen december nog herinnert weet dat de CNIL hard en gericht kan uithalen tegen Amerikaanse techbedrijven.

 

Jouw contactgegevens verwerkt zonder dat je het wist… 

Een van de grootste issues met Clubhouse is dat het hele verhaal gebaseerd is op een, member-get-member systeem, waarbij bestaande leden hun digitale telefoonboek uploaden en openstellen voor Clubhouse. Op basis daarvan worden telkens nieuwe gebruikers uitgenodigd.   

Met andere woorden, ook als je vandaag nog geen uitnodiging hebt gekregen, heeft Clubhouse jouw persoonsgegevens waarschijnlijk wél al verwerkt zonder jouw toestemming via één van je vrienden of kennissen en dat op zich is érg problematisch.  

De Belgische GBA legde aan datingwebsite Twoo nog maar enkele maanden geleden in zeer gelijkaardige omstandigheden een stevige boete op, met de argumentatie dat voor de verwerking van vriendengegevens geen geldige rechtsgrond onder GDPR gevonden kan worden.  Je vrienden hebben immers geen toestemming gegeven aan -in dit geval- Clubhouse om hun gegevens te verwerken en ook niet aan aan jou om hun gegevens met dat doel te verwerken en te delen met Clubhouse.  Clubhouse en haar gebruikers kunnen evenmin terugvallen op een gerechtvaardigd belang in deze context en de verwerking van contactgegevens van niet-gebruikers mist dus een geldige rechtsgrond.  

Het gaat hier overigens niet om een administratieve formaliteit.  De verplichting om wel een geldige rechtsgrond te hebben voor elke verwerking van persoonsgegevens is één van de hoekstenen van GDPR en van jouw en mijn privacybescherming…

Clubhouse gaat overigens nog een stapje verder als het gaat om de verwerking van telefoonboekgegevens van haar gebruikers.  Die worden immers niet alleen gebruikt om nieuwe leden uit te nodigen, maar ook om een database met ​​gebruikersstatistieken of -profielen samen te stellen over bestaande en toekomstige gebruikers.  De eerste indicaties van de CNIL lijken aan te geven dat Clubhouse die gegevens verkoopt of kan verkopen aan derden (adverteerders). Clubhouse zelf schrijft in haar privacy policy weliswaar dat het “uw persoonlijke gegevens niet verkoopt“, maar tegelijk noemt het wel een groot aantal gevallen waarin je gegevens potentieel kan “delen” met derden, inclusief voor “reclame- en marketingdiensten”…

 

Gesprekken opgenomen zonder dat je het wist…

Wist jij trouwens dat Clubhouse je gesprekken ook opneemt? Op zich hoeft dat geen probleem te zijn, tenminste voor zover Clubhouse die opnames alleen gebruikt om eventuele klachten te beoordelen en opnames daarna definitief van haar servers te verwijderen. Alleen weten we niet of Clubhouse dat ook echt doet en het bovenstaande verhaal geeft alvast weinig vertrouwen.

 

Geen transparantie…

Vooral de Duitse overheid struikelt daarenboven over het feit dat Clubhouse geheel niet transparant is naar gebruikers toe.  De correcte contactgegevens van het bedrijf achter Clubhouse (“das Impressum”, zoals dat onder Duits recht genoemd wordt) zijn nergens duidelijk vindbaar en de privacy policy is alleen in het Engels beschikbaar, daar waar GDPR vereist dat die in een (voor de gemiddelde gebruiker) begrijpelijke taal opgesteld is.  Ter vergelijking, Whatsapp liep in 2016 al eens een stevige boete op in Duitsland omdat haar gebruiksvoorwaarden niet in het Duits beschikbaar waren.  Bovendien blijkt uit de privacy policy dat heel wat verplichte informatie ontbreekt zoals bijvoorbeeld de bewaartermijnen van jouw persoonsgegevens en de namen van de partijen met wie die gegevens gedeeld worden…

Ook onduidelijk overigens lijkt op het eerste zicht de datacollectie door middel van cookies en andere trackers.  Clubhouse geeft zelf aan dat het data verzamelt op die manier én dat het die deelt met adverteerders via advertentienetwerken.   Clubhouse geeft echter voor zover wij konden vaststellen nergens een duidelijk overzicht van wélke cookies en trackers gebruikt worden, wélke data verzameld wordt en met wie die data precies gedeeld wordt.  Bovendien wordt, opnieuw voor zover wij konden vaststellen, nergens vrije toestemming gevraagd voor het plaatsen van die cookies en trackers…

 

Data export buiten de EU

Persoonsgegevens exporteren buiten de EU (door ze bijvoorbeeld op te slaan op servers in de VS) mag enkel onder strikte voorwaarden en mits contractuele én technische veiligheidswaarborgen.  Clubhouse echter beperkt zich in zijn privacy tot de laconieke melding dat “By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service”.

 

Blijf je beter weg van Clubhouse dan?

Of Clubhouse een zoveelste hype is dan wel een blijver in het social medialandschap zal de tijd uitwijzen.  Bovenstaande opmerkingen hoeven ook niet noodzakelijk te betekenen dat je beter niet met Clubhouse aan de slag gaat.  Follow the hype als je je daartoe geroepen voelt, daar is in se niets mis mee.

Maar als consument en burger kan je maar beter bewust zijn van wat big tech bedrijven met je data doen, zodat je bewuste keuzes kan maken.  

Met andere woorden, wees voorzichtig, informeer je en lees zorgvuldig de gebruiksvoorwaarden en het privacybeleid voor je Clubhouse of elke andere social media app gebruikt.

 

Meer weten over GDPR, gegevensbescherming of social media?

Aarzel dan niet om ons te contacteren via bart@siriuslegal.be of boek een vrijblijvend videogesprek met Bart via deze link: https://koalendar.com/events/Meet-with-Bart-Van-den-Brande 

Populair artikel videocalls_opnemen_GDPR
15.03.2021 Matthias Vandamme

Mag ik video calls met collega’s of klanten opnemen?

COVID-19 heeft de manier waarop we werken helemaal veranderd. De grootste aanpassing voor ons allemaal was wellicht wel het thuiswerk en de vele daarmee gepaard gaande online meetings via Teams, Zoom, Google Meet of een van de vele andere digitale vergadertools. 

Dat digitaal vergaderen ging en gaat met vallen en opstaan. We herkennen allemaal de ongemakkelijke stiltes, de slechte internetverbindingen en het door elkaar heen praten. Maar video calls hebben natuurlijk ook voordelen. Je kan zo’n vergadering bijvoorbeeld heel makkelijk opnemen en dat is handig voor wie er niet bij kon zijn of voor wie later nog even terug wil kijken. 

We ontvingen de voorbije maanden dan ook, niet verbazend, met regelmaat de vraag of je online meetings zomaar mag opnemen en wat de privacy-impact hiervan is. Het antwoord is, zoals alle antwoorden in gegevensbescherming en privacy, wat genuanceerd. Lees even mee…

 

De opname van een video call valt wel degelijk onder GDPR

Als je bijvoorbeeld een teammeeting opneemt “verwerk” je de persoonsgegevens van de deelnemers en dat betekent dat GDPR van toepassing is. Welke gegevens je precies verwerkt, hangt natuurlijk wat af van het platform en van de instellingen die de deelnemers kiezen. Meestal  verwerk je minstens de naam, de stem en het beeld van de deelnemer, samen met een hele reeks technische data die je ook als persoonsgegevens moet beschouwen (IP-adres, logfiles, kwaliteitsstatistieken voor de verbinding, connectietijden, …). Als deelnemers thuiswerken, is de kans bovendien groot dat er heel wat persoonlijke details meegenomen worden, denk maar aan huisgenoten die onbedoeld mee in beeld komen of een onverwachte inkijk in de keuken, woonkamer of zelfs slaapkamer van je gesprekspartner. Die inkijk in iemands woning kan zelfs leiden tot de “verwerking” van gevoelige gegevens, zoals iemands religieuze overtuiging of politieke opvattingen. 

 

Toestemming vragen…?

Dan vraag je de deelnemers toch gewoon om toestemming voor de opname of als het om werknemers gaat, neem je een clausule op in hun arbeidsovereenkomst en het probleem is opgelost? 

Zo eenvoudig is het jammer genoeg niet. Er zijn immers een aantal moeilijkheden die zich kunnen voordoen.
Specifiek voor werknemers hebben verschillende Gegevensbeschermingsautoriteiten de voorbije twee jaar immers duidelijk gemaakt dat zo’n toestemming in veel gevallen moeilijk gegeven kan worden door de werknemer. Die laatste is vaak niet echt vrij om neen te zeggen tegen zijn werkgever en dat is vaak (maar niet noodzakelijk altijd, overigens) een probleem.  Een geldige toestemming onder GDPR moet immers “vrij, specifiek, geïnformeerd en ondubbelzinnig” gegeven worden. Het woord “vrij” betekent dat de betrokkene ook moet kunnen weigeren zonder nadelige gevolgen te ondervinden van die weigering en dat is voor werknemers niet altijd evident. In deze blog lees je overigens meer over de boetes die in deze context al eerder werden opgelegd. 

Als het over het opnemen van online meetings gaat, is het duidelijk dat je werknemer moeilijk geldig toestemming kan geven. De consequentie zou zijn dat hij of zij niet kan deelnemen aan de meeting en dat dreigt achteraf zijn of haar positie bij bijvoorbeeld evaluaties niet ten goede te komen.  

Het probleem stelt zich veel minder ten aanzien van (potentiële) klanten of andere derden, zij kunnen in principe wel vrij beslissen of ze akkoord gaan met een opname.   

Hou er overigens wel rekening mee dat iedereen, zowel personeel als derden, hun toestemming theoretisch gezien op elk ogenblik kunnen intrekken. In dat geval moet je de “verwerking” onmiddellijk staken en dat betekent wellicht dat je de opname alsnog moet wissen of dat je in elk geval de betrokken persoon onherkenbaar moet kunnen maken. Hou er ook rekening mee dat jij als verantwoordelijke voor de opname moet kunnen bewijzen dat je toestemming hebt voor de opname. Die vraag je dan ook best expliciet ofwel in de invite ofwel bij het begin van de call (en herhaal je nog even zodra de opname gestart is). 

 

… of net geen toestemming vragen? 

Toestemming vragen om video calls op te nemen, blijkt dus niet zo eenvoudig. Gelukkig voorziet GDPR misschien wel een alternatief. Toestemming is immers niet de enige rechtsgrond onder GDPR en je kan bijvoorbeeld ook persoonsgegevens verwerken als dat noodzakelijk is voor de uitvoering van een overeenkomst of als je kan aantonen dat je daarvoor een “gerechtvaardigd belang” hebt.

Je kan gesprekken met andere woorden ook zonder toestemming opnemen als dat noodzakelijk is voor de uitvoering van de overeenkomst, al zal dat slechts zelden het geval zijn.  

Als je daarentegen een gerechtvaardigd belang hebt bij de opname van die meetings, kan je de opname ook maken zonder expliciete toestemming. Wees daar echter erg voorzichtig mee. De Europese en Belgische overheden en het Europees Hof van Justitie stellen immers strenge voorwaarden voor het verwerken van persoonsgegevens op basis van een gerechtvaardigd belang. Je zal in dat geval 3 opeenvolgende stappen moeten kunnen aantonen (en documenteren) én je zal maximale transparantie moeten garanderen naar de betrokkenen toe. Je zal meer bepaald moeten aantonen dat je zelf een te rechtvaardigen belang hebt bij de opname, dat de opname ook echt noodzakelijk is om dat belang te realiseren én dat er een evenwicht is tussen jouw belang en de inbreuk op de privacy van de betrokkene. Bij dat laatste moet je je eigenlijk in de plaats van de betrokkene stellen en je afvragen of die betrokkene redelijkerwijze kan of zou verwachten dat je de opname gaat maken. 

Specifiek in het kader van de opname van online meetings, moet je jezelf dus afvragen waarom je die opname maakt. Wat wil je ermee bereiken, waarom is die opname nodig? Wil je bijvoorbeeld achteraf nog een verslag kunnen opmaken van de meeting of wil je dat je team de besproken info achteraf (opnieuw) ter beschikking heeft of dient de opname eerder voor bewijsdoeleinden?  

Daarna moet je je afvragen of de opname wel echt noodzakelijk is om dat doel te bereiken. Als er een alternatief is om hetzelfde doel te bereiken, kan je de opname in se niet maken (of althans niet op basis van een gerechtvaardigd belang zonder expliciete toestemming). Een verslag van de meeting bijvoorbeeld kan even goed gemaakt worden door iemand die tijdens de meeting notitie neemt.  

De laatste stap is wellicht de moeilijkste: hoe groot is de impact op de privacy van de betrokkene en verwacht de betrokkene redelijkerwijze dat je een opname maakt? De gemiddelde werknemer zal vast niet verwachten dat iedere teammeeting zonder meer integraal wordt opgenomen. Ook klanten of prospects verwachten dat wellicht niet automatisch. Veel zal ook afhangen van wat er precies in die meetings besproken wordt en waarvoor de opname gebruikt zal worden. Een bespreking van de financiële maandcijfers binnen je team is vanzelfsprekend iets anders dan een evaluatie van je werknemers of een persoonlijk intakegesprek met een potentiële klant, die daarbij misschien ook persoonlijke informatie met je deelt.

In elk geval zal je alle deelnemers aan een opgenomen gesprek tijdig en correct op de hoogte moeten stellen van de (mogelijke) opname. Voor je werknemers moet je dit in een duidelijke policy of in het arbeidsreglement hebben uitgeschreven. De opnames moeten ook blijken uit je dataregister en uit je privacy policy en je zal de nodige maatregelen moeten nemen om de vertrouwelijkheid van de opname te garanderen (welk tool wordt gebruikt, blijft de data in Europa, waar wordt de opname opgeslagen, wie heeft er toegang toe en hoe is de toegang beveiligd, …). Je mag de opnames ook niet langer bijhouden dan noodzakelijk is. Hoe lang dat precies is, hangt natuurlijk af van het doel. Een opname die enkel dient om achteraf een verslag te maken, moet gewist worden zodra dat verslag gemaakt is, maar een opname die als bewijs dient voor bepaalde feiten die besproken worden tijdens de meeting kan vanzelfsprekend veel langer bewaard worden. Het is belangrijk dat je in je dataregister zeer duidelijke bewaartermijnen inschrijft én die termijnen ook goed motiveert. 

 

Less is more

Online meetings opnemen kan vaak aantrekkelijk lijken, maar bovenstaande zal wellicht duidelijk gemaakt hebben dat voorzichtigheid toch geboden is. Personeelsleden, klanten, prospects of elke andere betrokkene hebben immers rechten en precies die rechten vereisen intern een grondige denkoefening voordat je overgaat tot opnames van meetings.

Heel vaak zijn zo’n opnames ook niet echt noodzakelijk en in dat geval vermijd je ze best gewoon. Consequent teammeetings of andere online gesprekken opnemen gewoon “in geval dat je ze ooit nodig hebt” is moeilijk verdedigbaar. Als je toch opnames wil maken, doe dat dan transparant, correct en met de nodige voorzichtigheid.

 

Vragen over omgaan met persoonsgegevens en GDPR?

Heb je nog vragen over de mogelijke verwerkingsgronden of GDPR in het algemeen? Aarzel dan niet om ons te contacteren via bart@siriuslegal.be of matthias@siriuslegal.be of reserveer een vrijblijvende kennismaking in onze agenda via deze link: https://koalendar.com/events/Meet-with-Bart-Van-den-Brande 

27.01.2021 Matthias Vandamme

Welke bevoegde privacy autoriteit kan jou voor de rechter slepen?

Een komend arrest van het Hof van Justitie kan mogelijks interessante gevolgen hebben voor bedrijven die in een grensoverschrijdende context werken. De Advocaat-Generaal van het Hof van Justitie schreef in een recente opinie over de zaak van de Belgische Gegevensbeschermingsautoriteit (GBA) tegen Facebook dat ‘de GBA van het land waar de hoofdvestiging van een bedrijf is gevestigd een algemene bevoegdheid heeft om juridische procedures te starten tegen dat bedrijf. De andere GBA’s hebben deze bevoegdheid ook, maar slechts in een beperkt aantal gevallen.

 

Lokale en leidende autoriteiten

Een Gegevensbeschermingsautoriteit (GBA) of Data Protection Authority (DPA) is een onafhankelijke overheidsinstantie die onder andere waakt over ons recht op een privéleven. Elk Europees land heeft minstens één zo’n autoriteit die binnen haar grondgebied haar bevoegdheden uitoefent. Soms zijn meerdere GBA’s bevoegd, want problemen doen zich steeds meer over de grenzen heen voor. In dat geval is er een leidende GBA. Dat is de GBA van het land waar de hoofdvestiging zich bevindt van de verwerker of verwerkingsverantwoordelijke die de inbreuk pleegt. 

 

België v. Facebook

De zaak begon een vijftal jaar geleden al toen de voorloper van de Belgische GBA Facebook voor de rechter sleepte. De reden hiervoor zat hem onder meer in het gebruik van tracking cookies. Dat zijn cookies om internetgebruikers te volgen over verschillende websites heen. De voorloper van de Belgische GBA kreeg eerst haar gelijk, maar Facebook ging tegen deze beslissing in beroep. Facebook beweert dat de Belgische GBA niet bevoegd is om een juridische procedure tegen haar te beginnen. Zij is van mening dat enkel de GBA van de plaats van haar hoofdvestiging bevoegd is om gerechtelijke procedures te starten. In dit geval zou dat dan de GBA van Ierland zijn. 

Vervolgens heeft het Hof van Beroep in Brussel de vraag gesteld aan het Hof van Justitie in Luxemburg wie er bevoegd is om gerechtelijke zaken aan te spannen tegen een bedrijf in geval van grensoverschrijdende inbreuken. Is dat enkel de leidinggevende GBA of kan iedere nationale GBA dit doen?

 

One DPA to rule them all

Het is nog even wachten op een arrest van het Hof van Justitie, maar de Advocaat-Generaal Michal Bobek heeft zijn advies reeds gedeeld. Deze opinies worden bijna altijd ook gevolgd door het Hof van Justitie. Hij verduidelijkt in zijn opinie dat GBA’s inderdaad de bevoegdheid hebben om inbreukplegers voor de rechtbank te slepen, maar in geval van grensoverschrijdende geschillen wordt deze bevoegdheid ingeperkt. Dan mag enkel de leidende GBA in eerste instantie een procedure starten in samenspraak met de andere bevoegde autoriteiten. 

Dit is het principe van het één-loketmechanisme. Dat betekent dus dat een bedrijf in eerste instantie slechts door de GBA van zijn hoofdvestiging voor de rechter kan gebracht worden. In de Facebook zaak betekent dit dus dat de Ierse GBA in eerste instantie de bevoegdheid heeft om een procedure te starten. Zij dient dit wel steeds te doen in nauwe samenwerking met de andere GBA’s. Let wel, de slachtoffers van een inbreuk kunnen nog steeds procedures starten in hun eigen land tegen de bedrijven met een hoofdvestiging in een ander land. 

De Advocaat-Generaal benadrukt dat de nationale GBA’s in vijf gevallen gerechtelijke procedures kunnen starten wanneer zij niet de leidende GBA zijn:

  • Bij inbreuken buiten het kader van de GDPR. Zo heeft de Franse GBA (CNIL) in dit kader al boetes opgelegd voor inbreuken tegen de cookie regels in de ePrivacy richtlijn.
  • Bij grensoverschrijdende verwerkingen die worden uitgevoerd door overheidsinstanties in het algemeen belang of tijdens de uitoefening van hun openbaar gezag of door niet in de Unie gevestigde verwerkingsverantwoordelijken.
  • Wanneer de verwerkingsverantwoordelijke geen enkele vestiging in de Europese Economische Ruimte heeft.
  • Voor dringende maatregelen.
  • Nadat de leidende DPA heeft besloten om een zaak niet te behandelen.

Het zal nu nog enkele maanden duren voordat het Hof van Justitie een definitief arrest velt in deze zaak. Daarna zal het Brusselse Hof van Beroep zich uitspreken over de zaak, rekening houdende met de antwoorden van het Hof van Justitie. 

 

Gevolgen

Een mogelijk gevolg van deze situatie is dat sommige bedrijven hun hoofdzetel zullen verplaatsen naar het land met de minst strenge GBA. Sommige GBA’s zijn namelijk meer toegeeflijk op sommige punten dan andere GBA’s. Wil je graag meer weten over welke GBA’s er bevoegd zijn voor jouw verwerkingsactiviteiten of privacy en GDPR in het algemeen? Je mag ons altijd vrijblijvend contacteren via bart@siriuslegal.be en matthias@siriuslegal.be.

07.01.2021 Bart Van den Brande

GDPR nieuws om het nieuwe jaar mee in te duiken: Brexit en Standard Contract Clauses

2020 was een woelig jaar voor de ganse wereld om evidente redenen, maar ook specifiek in GDPR ging het jaar niet ongemerkt voorbij.  Wie afgelopen jaar onze blog gevolgd heeft, heeft zonder twijfel gemerkt dat heel wat bedrijven in Europa, soms bijzonder hoge, boetes opliepen.  Google, Amazon, Marriott, Ticketmaster, H&M, British Airways, Vodafone, … Het waren vaak niet de minsten die tegen de lamp liepen.  Bovendien was er behoorlijk wat ophef over de impact van het Planet 49 arrest en afgelopen zomer ook het Schrems II arrest.

Op de valreep bracht 2020 nog twee belangrijke nieuwigheden die we je niet willen onthouden bij de start van het nieuwe jaar. Brexit is een feit en tegen alle verwachtingen in werd toch nog een Brexitdeal gevonden, die ook gegevensexport naar het VK omvat. Daarnaast, maar in dezelfde sfeer van data export, publiceerde de Europese Commissie haar langverwachte draft versie van de nieuwe Standard Contract Clauses voor gegevensexport buiten de EER.  We vatten beiden kort samen hieronder.

 

De impact van de Brexitdeal op gegevensexport 

Het leek wel The never ending story, maar kijk, op de absolute valreep hebben de EU en het VK toch nog een akkoord bereikt over (de grote lijnen van) hun samenwerking na de Brexit.  In dit akkoord zit ook één korte passage over gegevensbescherming en gegevensexport tussen het VK en de EU.

Vanaf 1 januari 2021 is het VK immers een ‘derde land’ in de zin van GDPR.  We legden al eerder uit dat dat zonder Brexit deal zou betekenen dat het VK op vlak van data export plots gelijk gesteld zou moeten worden met Rusland of China, aangezien het VK niet automatisch op de lijst met “veilige” landen opgenomen kan worden, die geacht worden een gelijkwaardig, adequaat databeschermingsbeleid te voeren als de EU zelf.  Dat zou betekenen dat iedereen die data verzendt naar het VK in allerijl op zoek zou moeten gaan naar de nodige alternatieve zekerheden om veilig data te exporteren.  In de meeste gevallen zou dit betekenen dat er overeenkomsten voorzien zouden moeten worden op basis van de Standard Contract Clauses van de Europese Commissie, eventueel aangevuld met de nodige bijkomende waarborgen in het licht van het Schrems II arrest.  Bovendien zouden bestaande Binding Corporate Rules vervangen moeten worden als die destijds door de Britse ICO (die niet langer een Europese gegevensbeschermingsautoriteit is) goedgekeurd werden en zouden heel wat Britse bedrijven een vertegenwoordiger in de EU moeten aanstellen.  

Het Brexitakkoord paste hier gelukkig op de valreep een mouw aan in de vorm van een engagement vanwege de EU om het VK snel een adequaatheidsbeslissing te verlenen en om in afwachting daarvan het VK gedurende een periode van alvast maximaal zes maanden een tijdelijke adequaatheid te verlenen die gegevensuitwisseling met het VK zonder verdere formaliteiten alvast tijdelijk verder mogelijk maakt in afwachting van een formele erkenning als veilig derde land.  De afspraak werkt overigens in beide richtingen, dus ook voor data die van het VK naar de EU stroomt. Gegevensuitwisseling met het VK kan -voorlopig althans- dus ongestoord en zonder verdere juridische of administratieve ingrepen verdergaan. 

Er bestaat voorlopig nog één kleine reserve: hoewel de Brexitovereenkomst voorlopig van kracht is sinds 1 januari 2021, moet deze nog steeds formeel goedgekeurd worden door de Europese Raad en door het Europees Parlement voordat ze kan worden geratificeerd en volledig kan worden uitgevoerd. De deal moet bovendien ook nog goedgekeurd worden door het Britse parlement.  Als het akkoord alsnog niet goedgekeurd raakt, dreigen de eerder voorziene problemen rond gegevensuitwisseling na Brexit binnenkort toch nog de kop op te steken…

 

Nieuwe Standard Contract Clauses

Even langverwacht als de Brexitdeal waren de nieuwe versies van de Standard Contract clauses voor gegevensexport buiten de EU.  De oude versies waren immers niet afgestemd op de terminologie uit de GDPR en waren erg onhandig in gebruik.  Bovendien maakte het Schrems II arrest afgelopen zomer duidelijk dat de bestaande SCC’s onvoldoende zijn als juridische basis voor data export buiten de EER (de EU, uitgebreid met Noorwegen en Liechtenstein).  De Europese Commissie werkte dan ook al een hele tijd aan een update van de bestaande contractclausules.

Op 12 november 2020 heeft de Europese Commissie intussen haar voorstel van aangepaste en aangevulde SCC’s publiek gemaakt voor consultatie en de voorziene consultatieperiode is inmiddels kort voor Kerst afgesloten.  De Europese Commissie verwerkt nu de ontvangen feedback in haar finale versies en wacht daarvoor onder andere ook nog even op het finale advies van de EDPB over passende bijkomende waarborgen bij gegevensexport (volgend op het Schrems II arrest).  De intentie van de Commissie is om die waarborgen meteen contractueel in te kapselen in de SCC’s, om op die manier te zorgen voor een vlotte en veilige gegevensexport buiten de EER op basis van de nieuwe SCC’s zonder bijkomende rompslomp.

De Commissie voorziet voor bedrijven een overgangsperiode van 12 maanden vanaf de datum waarop de finale versie publiek zal worden gemaakt om de nieuwe SCC’s te implementeren.  Wie data exporteert op basis van de oude SCC’s of op basis van het inmiddels nietig verklaarde Privacy Shield houdt dus best de website van de Commissie best in de gaten.

De nieuwe (voorlopig nog draft) SCC’s zijn modulair opgebouwd. Er is één centrale versie van de SCC die op basis van bijkomende tekstmodules aangepast kan worden om vier hypotheses te dekken:

  • Uitwisseling tussen twee (of meer) controllers 
  • Overdracht van een controller naar een (of meer) processors
  • Overdracht van een processor naar een (of meer) (sub-)processors
  • Overdracht  van een processor naar een (of meer) controllers

De ontwerpen voor de nieuwe SCC’s leggen veel meer dan vroeger de focus op transparantie, ongetwijfeld ingegeven door het Schrems II arrest.  Bij doorgifte van controller naar controller bijvoorbeeld moet de gegevensimporteur heel wat informatie verstrekken aan de betrokkenen (rechtstreeks of via de gegevensexporteur), zoals de identiteit van de gegevensimporteur en details over de voorgenomen verwerking.

De draft SCC’s bevatten ook de verplichting om bij verdere gegevensoverdracht door de gegevensimporteur aan een derde partij (zogenaamde “verdere doorgifte”), ofwel met deze derde ook de overeenkomstige SCC te tekenen ofwel een andere rechtsgrond te voorzien.

De SCC’s voorzien ook standaard de garantie door de gegevensimporteur dat geen enkele lokale wet zijn taak zal beïnvloeden. Partijen moeten overigens voorafgaand een effectbeoordeling opstellen precies ter verificatie van de mogelijke impact van lokale wetgeving.  De gegevensimporteur moet bovendien de gegevensexporteur – en indien mogelijk de betrokkenen – onmiddellijk verwittigen van inzageverzoeken door lokale overheden en om bijvoorbeeld ook de nodige juridische actie te ondernemen tegen onwettige inzageverzoeken.

De SCC’s krijgen ook een uitgebreide bijlage mee deze keer.  Daarin worden nog concrete aanvullingen verwacht door de Europese Commissie met minimale technische en organisatorische maatregelen om data te beschermen bij export.  Die aanvullingen zullen gebaseerd zijn op het finale advies van de EDPB over precies die maatregelen dat eerstdaags zal verschijnen en dat er komt in opvolging van het Schrems II arrest.  

 

Vooruitzichten

De modernisering van de Standard Contract Clauses is een stap vooruit inzake vlotte data export buiten de EER, maar de vrees blijft toch bestaan dat dit op termijn onvoldoende is.  De meeste juristen kijken ongerust uit naar een volgend Schrems arrest, dat gericht zou zijn tegen de SCC’s in plaats van zoals afgelopen jaar tegen het Privacy Shield.  De onderliggende problematiek blijft immers dezelfde: geen enkele contractuele of structurele afspraak kan zekerheid geven over dataveiligheid buiten de EU.  Buitenlandse veiligheidsdiensten hebben op grote schaal, al dan niet legaal, toegang tot Europese data en ontvangers buiten de EER kunnen nooit garanderen dat dat voorkomen zou kunnen worden, ook niet met nieuwe en strengere SCC’s…

Niettemin doe je er best aan om de nieuwe SCC’s zo snel mogelijk te implementeren zodra ze finaal zijn.  Hoe je best omgaat met data export en hoe je zorgt voor een veilige en juridisch (zo goed mogelijk) sluitende context, hebben we al uiteengezet in een aantal webinars (waarvan de opname op ons Youtube kanaal beschikbaar is) en op onze website (met een handige questionnaire die je kan uitsturen naar partners buiten de EER om in te schatten of de data die je met hen uitwisselt veilig en correct verwerkt wordt).

 

Vragen over internationale data transfers of over GDPR in het algemeen?

We maken graag tijd voor een online kennismaking die je zelf kan inplannen op deze link.  Je kan natuurlijk ook altijd mailen of bellen naar Bart Van den Brande op bart@siriuslegal.be of op +32 492 249 516.

1 2 7 8