Blog Schremsii

Populair artikel deadline SCC's_Standard_Contract_Clauses
21.09.2021 Bart Van den Brande

Opgelet: Nieuwe SCC's treden in werking op 27 september

We hebben op deze blog en in een aantal webinars al uitgebreid aandacht besteed aan de nieuwe Standard Contract Clauses of SCC’s van de Europese Commissie. Na het wegvallen van het EU-US Privacy Shield ingevolge het Schrems II arrest van het Europees Hof van Justitie moeten deze SCC’s de juridische basis vormen voor de meeste vormen van data export buiten de EU.  Die nieuwe SCC’s treden op 27 september in werking.  Nieuwe data transfers buiten de EU moeten vanaf dan gebeuren op basis van aangepaste contracten met de nieuwe standaard contractclausules.

Populair artikel
26.04.2021 Bart Van den Brande

Data Export na Schrems II: stilaan meer duidelijkheid op basis van eerste beslissingen

Dat het Schrems II arrest van afgelopen zomer heel wat stof heeft doen opwaaien is een understatement.  Heel wat bedrijven zijn bijzonder ongerust over de impact van het wegvallen van het Privacy Shield tussen de VS en Europa en over de strengere interpretatie van data exportregels van de EU naar gebieden buiten de EU.  De recente Mailchimp beslissing, waarover we al eerder schreven op onze blogpagina’s heeft daarbij alleen maar olie op het vuur gegooid.

Maar gelukkig wordt de soep niet altijd zo heet gedronken als ze geschonken wordt.  Een recente beslissing van de Franse Conseil d’Etat maakt duidelijk dat het Schrems II arrest heus niet hoeft te betekenen dat Europese bedrijven helemaal geen beroep meer kunnen doen op niet-Europese (meestal Amerikaanse) dienstverleners.  Hoe zit de vork dan precies in de steel en wat moet je als ondernemer wel en niet doen?  Dat proberen we hieronder op een rijtje te zetten.

 

Hoe zat het ook weer met dat hele Schrems II verhaal?

Afgelopen zomer oordeelde het Europees Hof van Justitie in haar Schrems II-arrest dat het zogenaamde “Privacy Shield” dat de uitwisseling van persoonsgegevens van de EU naar de VS mogelijk maakte zonder bijkomende waarborgen of beperkingen in strijd was met het Europees recht en met name met GDPR.  Premisse van het Privacy Shield was immers de “belofte” van Amerikaanse bedrijven dat de persoonsgegevens van Europese burgers eenzelfde niveau van veiligheid zouden genieten in de VS als in de EU en dat uitgangspunt is de facto onmogelijk.  Amerikaanse veiligheidswetgeving, zoals bvb de FISA act, geven Amerikaanse inlichtingendiensten immers vergaande inzagerechten in (Europese of andere) datastromen die de VS binnenkomen.  Europese data is dus nooit echt “veilig” in de VS en die vaststelling betekende meteen ook het einde van het Privacy Shield.

De gevolgen hiervan zijn potentieel érg vergaand. Quasi alle software tools die Europese bedrijven vandaag gebruiken, zijn immers Amerikaans en aangezien de meeste daarvan tegenwoordig cloud services of online tools zijn, is er per definitie sprake van gegevensuitvoer naar de VS.

Het probleem werd enkel maar groter als we ook rekening houden met het feit dat het EHJ daar ook aan toevoegde dat wie data exporteert buiten de EU (ook naar andere bestemmingen dan de VS), meteen rekening moet houden met het feit dat de Standard Contract Clauses die de Europese Commissie zélf voorziet om veilige gegevensexport te garanderen tussen bedrijven en organisaties binnen en buiten de EU niet volstaan.

Het Schrems II-arrest zegt immers zeer duidelijk dat overdrachten van persoonsgegevens aan cloudserviceproviders in de Verenigde Staten geval per geval beoordeeld moeten worden en indien er een risico bestaat voor de integriteit van de betreffende gegevens, moeten bijkomende veiligheidswaarborgen voorzien worden.  Die aanvullende waarborgen dringen zich bij export naar de VS bijna automatisch op, gelet op de zeer vergaande onderzoeksbevoegdheden van de Amerikaanse inlichtingendiensten, bijvoorbeeld op grond van sectie 702 (50 USC § 1881a) van de Foreign Intelligence Surveillance Act (Cloud Services Act).

 

Dus geen data export meer naar de VS?

Wie vorige week ons blogartikel over het gebruik van Mailchimp gelezen heeft, zou de indruk kunnen hebben dat data export naar de VS vandaag onmogelijk geworden is als gevolg van het Schrems II arrest.  Dat is gelukkig echter niet het geval.

We gaven in dat artikel, net als in deze blog met een duidelijk 7 stappen plan voor data export, al mee dat heel veel afhankelijk is van jouw eigen specifieke context en de “gevoeligheid” van jouw data en we legden ook al uit dat het jouw taak is als ondernemer om een correcte inschatting te maken van die context en van de veiligheid van jouw data bij de ontvangende partij.  Om die veiligheid te verzekeren zal je zelf moeten zorgen voor gepaste “bijkomende veiligheidsmaatregelen” bovenop de standaard contractuele garanties die de ontvangende partij je moet geven in de vorm van zogenaamde “Standard Contract Clauses” (ook dit lees je in ons 7 stappen plan).  Eén van die bijkomende maatregelen kan bijvoorbeeld de voorafgaande encryptie van je data zijn, zodat ze aan de ontvangende zijde niet kan uitgelezen worden.

Als je bovenstaande graag rustig uitgelegd ziet, kan je overigens terecht op ons Youtube kanaal. Je vindt er de opname van een recent Schrems webinar waarin we samen met onze partners van de IT & Data Protection Practice Group van Consulegis een overzicht geven van internationale data export en de impact van Schrems II vanuit Amerikaans, Indisch, Brits en Europees perspectief.

 

En wat heeft de Franse Raad van State hiermee te maken?

We begonnen ons verhaal met de melding dat de Franse Raad van State zopas verduidelijkte dat Europese bedrijven wel degelijk nog kunnen samenwerken met Amerikaanse partners in het kader van verwerking van persoonsgegevens. Tijd dus om even te kijken wat de Conseil d’Etat in Frankrijk precies gezegd heeft…

De Franse regering werkt al een hele tijd aan een nationaal platform voor de verwerking van medische gegevens van Franse burgers, een beetje zoals het eHealth platform bij ons in België.  Dat Franse platform heet Doctolib en het staat ondermeer in voor het boeken van afspraken voor Covid-19 vaccinaties.

De servers van Doctolib worden, zoals ongeveer 33% van alle serverruimte in Europa, gehost door het Luxemburgse Amazon Web Services (AWS). De servers van AWS staan weliswaar in Frankrijk en Duitsland, maar AWS is wel een onderdeel van de Amerikaanse Amazon-groep. De vaststelling dat de gezondheidsgegevens van miljoenen Franse burgers verwerkt zouden worden op een platform dat gehost wordt door (de dochteronderneming van) een Amerikaans bedrijf, zorgde voor behoorlijk wat onrust in Frankrijk en leidde uiteindelijk tot een procedure voor de Raad van State in een poging om die beslissing teniet te doen en de Franse overheid te dwingen een Europees alternatief te kiezen.

De Conseil d’État wees echter het verzoek tot opschorting van het partnership tussen de Frase overheid en Doctolib af. 

De Raad van State zegt daarbij 3 belangrijke dingen:

  1. Het loutere feit dat er samengewerkt wordt met een Amerikaans bedrijf betekent niet dat er per definitie sprake is van data export naar de VS.  In casu staan alle servers in de EU.  Die vaststelling is meteen een hele geruststelling voor de miljoenen Europese bedrijven en zelfstandigen die werken met software van bijvoorbeeld Microsoft of Google of die serverruimte hebben bij AWS, Azure of Google Cloud Services.  Dat zijn stuk voor stuk Amerikaanse bedrijven, maar daarom is er nog niet automatisch sprake van data export.  Het feit dat bijvoorbeeld Google haar klanten zelf laat kiezen voor opslag in de Amerikaanse, Europese of binnenkort ook Russische Google cloud, is wat dat betreft een hele geruststelling. 
  2. De Franse Raad van State zegt er wél meteen bij dat er wel degelijk een (potentieel) risico bestaat op toegang door Amerikaanse wetshandhavingsinstanties tot de persoonsgegevens die op Europese servers van een Amerikaans bedrijf (of haar dochteronderneming) staan.  Amerikaanse veiligheidswetgeving is immers ook van toepassing op Amerikaanse bedrijven buiten de VS.  Dat is dan weer minder goed nieuws voor diezelfde miljoenen Europese bedrijven die samenwerken met Amerikaanse suppliers…
  3. Vervolgens stellen de rechters vast dat de Franse staat een voldoende risico-analyse gemaakt heeft en voor voldoende juridische en technische “bijkomende waarborgen” gezorgd heeft om de uitwisseling van persoonsgegevens met een Amerikaans bedrijf toch te rechtvaardigen.  Het contract tussen Doctolib en AWS voorziet bijvoorbeeld dat AWS elk algemeen inzageverzoek (van de Amerikaanse overheid) zou weigeren en aanvechten. Op technisch vlak is bovendien sprake van vergaande encryptie van alle bij AWS gehoste data en dat de sleutel wordt bewaard door een vertrouwde derde partij in Frankrijk (en niet door AWS zélf, dat eventueel gedwongen zou kunnen worden om de sleutel uit handen te geven aan de Amerikaanse overheid).

 

Wat leren we hieruit?

Hoewel deze zaak geen betrekking heeft op de doorgifte van persoonsgegevens naar de VS, toont het arrest in elk geval wél aan dat Schrems II, volgens de hoogste Franse rechtbank, EU-bedrijven niet per definitie verbiedt om samen te werken met Amerikaanse aanbieders van clouddiensten. De uitspraak illustreert vooral de noodzaak tot grondig voorafgaand onderzoek én tot het nemen van voldoende bijkomende waarborgen om dataveiligheid te garanderen.  Tegelijk geeft het arrest ook aan dat zulke garanties niet alleen absoluut nodig zijn als data effectief getransfereerd wordt naar de VS, maar dat ze ook aangewezen (kunnen) zijn in situaties waarin samengewerkt wordt met Europese dochterondernemingen en waarin de data wel in de EU gehost wordt of althans waar gezegd wordt dat dat zo is (let wat dat betreft op de kleine lettertjes, die vaak uitzonderingen voorzien voor noodgevallen ,waarbij data toch omgeleid of in back-up gezet kan worden buiten de EU…)

 

Vragen over GDPR, data export of gegevensbescherming in het algemeen?

We maken graag tijd voor je.  Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.

Populair artikel
07.04.2021 Bart Van den Brande

De Duitse Mailchimp beslissing maakt de impact van het Schrems II-arrest op data export pijnlijk duidelijk

Een recente beslissing van de Beierse gegevensbeschermingsautoriteit doet grote twijfel rijzen over de vraag of het populaire e-mailmarketingplatform MailChimp volgens de GDPR wel legaal gebruikt kan worden.  

Bij uitbreiding stelt hetzelfde probleem zich voor bij quasi alle Amerikaanse softwaretoepassingen die persoonsgegevens van EU-burgers verwerken.  Data Export naar de VS is immers sinds afgelopen zomer niet meer mogelijk onder het door het Europees Hof van Justitie vernietigde Privacy Shield en ook het gebruik van Standard Contract Clauses als alternatief blijkt -en dat is voor gegevensbeschermingsspecialisten niet verbazend- zeer moeilijk te liggen omdat het Europees hof van Justitie in dat geval de bijkomende verplichting oplegt om individueel en geval per geval te onderzoeken of bijkomende veiligheidsmaatregelen nodig zijn.  

Precies dat laatste probleem komt nu naar boven in de beslissing over Mailchimp uit Beieren.

 

Data export?

De impact van het Schrems II-arrest van het Europese Hof van Justitie van afgelopen zomer laat zich steeds harder voelen.  Voor heel wat bedrijven was het toch even in de haren krabben vorig jaar, toen het Europese Hof het Privacy Shield tussen de VS en de EU (de EER eigenlijk) onderuit haalde.  Quasi alle software tools die Europese bedrijven vandaag gebruiken, zijn immers Amerikaans en aangezien de meeste daarvan tegenwoordig cloud services of online tools zijn, is er per definitie sprake van gegevensuitvoer naar de VS.

Het probleem werd enkel maar groter als we ook rekening houden met het feit dat het EHJ daar ook aan toevoegde dat wie data exporteert buiten de EU (ook naar andere bestemmingen dan de VS), meteen rekening moet houden met het feit dat de Standard Contract Clauses die de Europese Commissie zélf voorziet om veilige gegevensexport te garanderen tussen bedrijven en organisaties binnen en buiten de EU niet volstaan.

Het Schrems II-arrest zegt immers zeer duidelijk dat overdrachten van persoonsgegevens aan cloudserviceproviders in de Verenigde Staten geval per geval beoordeeld moeten worden en indien er een risico bestaat voor de integriteit van de betreffende gegevens, moeten bijkomende veiligheidswaarborgen voorzien worden.  Die aanvullende waarborgen dringen zich bij export naar de VS bijna automatisch op, gelet op de zeer vergaande onderzoeksbevoegdheden van de Amerikaanse inlichtingendiensten, bijvoorbeeld op grond van sectie 702 (50 USC § 1881a) van de Foreign Intelligence Surveillance Act (Cloud Services Act).

Gebruik van Mailchimp niet OK?

Het klinkt bijna absurd, maar de Beierse gegevensbeschermingsautoriteit (Bayerisches Landesamt für Datenschutzaufsicht) heeft eerder deze maand een Europees online tijdschrift het verbod opgelegd om nog langer Mailchimp te gebruiken om haar newsletters uit te sturen. Meer info vind je op deze link

De reden? Wel, wie Mailchimp gebruikt om nieuwsbrieven te versturen, stuurt persoonsgegevens (bijv. e-mailadressen en namen van ontvangers) naar de servers van Mailchimp in de Verenigde Staten en dat is potentieel niet OK.

De Beierse gegevensbeschermingsautoriteit motiveerde haar beslissing met de vaststelling dat het bedrijf niet voorafgaand had onderzocht of er aanvullende waarborgen nodig waren voor het doorgeven van persoonsgegevens aan Mailchimp, met name omdat Mailchimp mogelijk onderworpen is aan de Cloud Services Act. 

Let wel op de belangrijke nuance dat De Beierse gegevensbeschermingsautoriteit niet oordeelde niet dat MailChimp an sich per se onwettig is.  In plaats daarvan oordeelde het dat in dit specifieke geval het gebruik van MailChimp door het bedrijf in kwestie onwettig was omdat het bedrijf niet voorafgaand had beoordeeld of er adequate aanvullende maatregelen waren getroffen om ervoor te zorgen dat haar persoonsgegevens beschermd waren tegen toegang door Amerikaanse toezichthoudende instanties. 

 

Bijkomende waarborgen?

Het is inderdaad zo dat je als Europees bedrijf eigenlijk, volgend op het al geciteerde Schrems II arrest, al enige tijd geleden moest overgaan tot een interne data-export audit of een “vendor assessment” om achtereenvolgens in te schatten:

  • Of er sprake is van gegevensuitwisseling buiten de EU/EER
  • Of er een gepaste rechtsgrond voor handen is conform Hoofdstuk V GDPR (standard contract clauses, binding corporate rules of één van de andere minder gangbare en evidente rechtsgronden)
  • Wat de gevoeligheid is van de betreffende data en of de data-export an sich wel te verantwoorden is
  • Of bijkomende waarborgen zich al dan niet opdringen aan de zijde van de uitvoerder of van de ontvanger
  • Meer algemeen ook, of de ontvanger GDPR compliance kan garanderen

Die oefening dient, vanuit het oogpunt van het verantwoordingsprincipe onder GDPR vanzelfsprekend gedocumenteerd te worden en het is precies daarom dat wij bij Sirius Legal al sinds september een gratis Data Export Impact Assessment formulier ter beschikking stellen op onze website.  Dat formulier is inmiddels honderden keren gedownload door bedrijven uit gans Europa, overigens.

Welke bijkomende maatregelen zich eventueel opdringen, is overigens al een poos geleden opgelijst door de EDPB in haar “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” van 10 november 2020.  In dit document worden verschillende data export scenario’s voorgesteld en wordt telkens case by case aangegeven hoe gezorgd kan worden voor veilige uitwisseling van persoonsgegevens of welke werkwijze zeker niet voldoende veilig is.  

De steeds terugkerende boodschap in dat document is overigens de noodzaak om over te gaan tot encryptie van persoonsgegevens alvorens ze uit te voeren en om daarbij gebruik te maken van eigen (bij voorkeur Europese) encryptietechnieken voorafgaand aan de export en los van de eigen encryptie die platformen of tools standaard aanbieden.  

Ook het gebruik van Mailchimp valt binnen deze context.  Persoonsgegevens worden immers uitgevoerd naar de VS, waar Mailchimp onder de FISA wetgeving als een telecomprovider beschouwd wordt, die potentieel inzage moet geven in zijn klantengegevens aan de Amerikaanse overheid.  Encryptie dringt zich dan op.  Alleen… het gebruik van Mailchimp laat zo’n encryptie eigenlijk technisch gezien niet toe en de facto kan een Europees bedrijf Mailchimp dus niet rechtsgeldig gebruiken…

 

Mailchimp als Wake-up call?

Tot nu toe leek het erop dat de Europese gegevensbeschermingsautoriteiten voorlopig een oogje dicht knepen en een soort van onofficiële uitstelperiode hadden gegeven aan Europese bedrijven en organisaties om zich aan te passen aan de gewijzigde juridische situatie na het Schrems II arrest.  Dit had zeker ook te maken met het feit dat de al genoemde Standard Contract Clauses precies op dit ogenblik vernieuwd worden door de Europese Commissie.

Het optreden van de Beierse gegevensbeschermingsautoriteit toont nu echter aan dat de speeltijd nu wel degelijk ten einde is en dat bedrijven echt zullen moeten zorgen voor een veilige uitwisseling van persoonsgegevens met hun niet-Europese partners. In een persbericht bij de Mailchimp-beslissing merkte de autoriteit op dat deze zaak in haar ogen een voorbeeld is voor de wijze waarop het Schrems II-arrest in praktijk gehandhaafd zal worden. 

 

Is jouw software “data export compliant”?

De pijnlijk problematische vaststelling is dat geen enkele Amerikaanse softwaretoepassing op heden helemaal “GDPR compliant” werkt.

We deden zelf bij Sirius Legal de voorbije maanden een benchmark test bij 10 van de meest bekende marketingtools, waaronder Mailchimp, Sharpspring, Hubspot, Active Campaign, Salesforce en enkele anderen.  De vaststelling is dat de meeste van deze -stuk voor stuk Amerikaanse- aanbieders de voorbije maanden zich wel aangepast hebben in die zin dat zij niet langer het Privacy Shield inroepen als rechtsgrond, maar nu wel verwijzen naar Standard Contract Clauses, maar dat zij toch ook allemaal nog steeds verschillende tekortkomingen vertonen op het vlak van data-export verplichtingen:

  • In een aantal gevallen zijn de Standard Contract Clauses onvindbaar of niet beschikbaar
  • De meeste aanbieders voorzien ofwel geen ofwel slechts zeer algemene en vage “bijkomende waarborgen”
  • Zowat alle aanbieders doen op hun beurt beroep op subverwerkers, waarvan noch de identiteit, noch de locatie voldoende duidelijk is en waarvan weinig of geen garantie bestaat op GDPR en data-export compliance bij de betrokken subverwerker   

Hetzelfde geldt bij uitbreiding voor andere niet-Europese clouddiensten of online toepassingen.  Het is bijna per definitie zo dat die niet (helemaal) GDPR compliant werken en dat elk gebruik ervan een voorafgaande audit en eventueel het voorzien van bijkomende technische of organisatorische waarborgen vereist.

 

Kan je dan als Europees bedrijf helemaal geen Amerikaanse of andere niet-Europese services meer gebruiken?  

Zo’n vaart loopt het gelukkig niet en die conclusie zou ook absurd zijn in de huidige geglobaliseerde samenleving en economie waarin wij ons allemaal begeven.

In de Mailchimp-zaak was het probleem evident duidelijk, omdat het bedrijf in kwestie blijkbaar helemaal geen voorafgaande risk assessment gemaakt had om te documenteren of aanvullende waarborgen nodig waren.  Dat op zich was al voldoende om deze beslissing uit te lokken.  

Toekomstige zaken zullen wellicht minder voor de hand liggend tot een sanctie leiden, als je tenminste als EU-bedrijf een goed onderbouwde en gedocumenteerde voorafgaande risico-analyse gemaakt hebt of zelfs aanvullende waarborgen hebt geïmplementeerd.  Welke maatregelen in welke context “voldoende” zullen zijn, zal pas duidelijk worden als er voldoende rechtspraak voorhanden zal zijn, maar het is evident dat de “gevoeligheid” van de data en het risico op inzageverzoeken vanuit het buitenland meespelen.  Een mailinglijst voor een juridisch weekblad lijkt in die context veel minder problematisch dan de ledenlijst van een politieke partij en in dat eerste geval kan een goed onderbouwde voorafgaande inschatting wellicht (?) wel volstaan…

Deze beslissing is echter een waarschuwing voor alle bedrijven en organisaties in Europa over het belang van gepaste zorgvuldigheid bij de overdracht van persoonsgegevens buiten de EU.  Je kan als bedrijf maar best dringend aan de slag met een strenge en grondige interne auditoefening op basis waarvan je kan aantonen dat je hebt beoordeeld of jouw data al dan niet in handen kunnen komen van derden en met name van buitenlandse overheden als je gebruik maakt van niet-Europese toepassingen.

Gebruik hiervoor eventueel ons gratis Data Export Impact Assessment formulier om de nodige informatie te verzamelen bij je niet-Europese partners.  Hoe er ook rekening mee dat als een leverancier geen informatie kan of wil verstrekken om jou te helpen de potentiële risico’s goed in te schatten, je noodgedwongen zal moeten afwegen of je nog langer kan samenwerken en dat je dus in het ergste geval effectief op zoek moet naar een alternatieve (bij voorkeur Europese) partner…

 

Wil je meer weten over de praktische impact van Schrems II?

Wie meer wil weten, kan terecht bij bart@siriuslegal.be of kan hier rechtstreeks een online kennismaking inboeken via Google Meet.

Of beter nog, schrijf in voor het Schrems II webinar van ons internationale contactennetwerk Consulegis The Practical Impact of Schrems II on International Data Flows  op 14 april.  Sprekers uit de EU (waaronder Bart Van den Brande voor Sirius Legal), het VK, de VS en Indië bespreken er alle juridische en praktische gevoeligheden van internationale datastromen en maken tijd vrij voor al jouw vragen en bezorgdheden. 

 

Overigens, als je dit leest vanuit onze Mailchimp newsletter: ja, ook wij beraden ons op heden actief over hoe we verder kunnen werken en intern is de beslissing genomen om in de loop van het voorjaar over te stappen naar een andere provider.  Lead by example is een credo dat ons niet vreemd is.

Populair artikel schremsII_aanbevelingen-edpb
17.11.2020 Matthias Vandamme

Eindelijk! Aanbevelingen EDPB voor gegevensexport na Schrems II

Het heeft even geduurd, maar de European Data Protection Board (EDPB) heeft onlangs enkele aanbevelingen gedeeld naar aanleiding van de gevolgen van het Schrems II arrest begin deze zomer. We schreven een tijdje geleden al twee blogartikels over de gevolgen van dit arrest. In het eerste artikel gaven we ondernemingen alvast de eerste handvaten om juridische risico’s te voorkomen. Het tweede artikel bestond uit 7 pragmatische stappen voor gegevensexport naar derde landen (in het bijzonder de VS). Nu toetsen we de nieuwe aanbevelingen van de EDPB aan ons eerder advies.

 

Aanvullende maatregelen voor gegevensexport

Wanneer persoonsgegevens buiten de Europese Economische Ruimte (EER) geëxporteerd worden, moet er in het land van aankomst een evenwaardige bescherming gelden zoals binnen de EER. Als onderneming kan je daarvoor beroep doen op een adequaatheidsbesluit van de Europese Commissie of gebruik maken van een aantal tools zoals de Standaard Contractuele Clausules (SCCs) en de Binding Corporate Rules (BCRs). Maar soms volstaan deze tools op zich niet en dan zijn er aanvullende maatregelen nodig. 

De EDPB raadt 6 stappen aan voor ondernemingen om te bepalen of en welke aanvullende maatregelen nodig zijn:

  • Weet welke gegevens je exporteert: hiermee verwijst de EDPB naar het dataregister. Deze stap komt overeen met de eerste stap uit onze blog. Daarnaast benadrukt de EDPB het belang om te controleren dat je enkel gegevens exporteert die toereikend, relevant en noodzakelijk zijn om je doel te bereiken;
  • Controleer de tool die gebruikt wordt om gegevens te exporteren: ook deze stap stemt overeen met onze eerdere blogs;
  • Beoordeel de juridische situatie in het derde land: deze stap werkt de EDPB verder uit in haar tweede aanbevelingen en zullen wij hieronder verder toelichten;
  • Identificeer en gebruik aanvullende maatregelen: als de vorige stappen onvoldoende bleken, is dit dé cruciale stap in het proces. We hadden het in onze eerdere blogs al over anonimisatie, pseudonimisatie, encryptie en andere aanvullende maatregelen. De EDPB vult deze nu aan met een lijst voorbeelden aan de hand van use cases. Het is van uitermate groot belang dat je voor elke maatregel steeds een beoordeling maakt of het in de concrete situatie wel doeltreffend is;
  • Procedurele stappen: de aanname van aanvullende maatregelen kan in sommige gevallen verdere procedurele stappen vereisen, zoals bijvoorbeeld de toestemming van de bevoegde gegevensbeschermingsautoriteit;
  • Monitoren, herevalueren en aanpassen: de aanname van aanvullende maatregelen of de keuze van een transfer tool is geen eenmalige opgave. Je zal de doeltreffendheid van beide consequent in de gaten moeten houden, herevalueren en eventueel nieuwe maatregelen aannemen.

Aanvullend op deze maatregelen blijven wij onze cliënten ook aanraden om een Data Exchange Vendor Assessment uit te voeren. Dit houdt in dat je je dienstverleners en contractpartijen in de derde landen allemaal contacteert om hen te informeren over het Schrems II arrest, de gevolgen ervan en hen vraagt een korte vragenlijst in te vullen. Wij hebben hiervoor een template gecreëerd die je gratis kan downloaden via deze link.

Uiteraard dien je de export stop te zetten als geen enkele maatregel doeltreffend is om een passend beschermingsniveau te garanderen.

 

Juridische situatie in het derde land

In haar tweede aanbeveling werkt de EDPB de derde stap van haar stappenplan verder uit. Net zoals in de vierde stap van onze eerdere blogs, moet je in deze stap de juridische situatie van het land waarnaar je de gegevens exporteert beoordelen. In het bijzonder of er elementen aanwezig zijn die ervoor kunnen zorgen dat de tool waarop je je baseert minder effectief wordt. 

De EDPB benadrukt vier essentiële garanties waar je rekening mee moet houden bij de evaluatie van het recht in het derde land:

  • Duidelijke, nauwkeurige en toegankelijke regels: de wetgeving van het derde land moet voor iedereen duidelijk zijn. In het bijzonder moet je kunnen bepalen onder welke voorwaarden een overheid inzage mag nemen in de geëxporteerde gegevens;
  • Noodzakelijkheid en evenredigheid: afwijkingen van en beperkingen op de bescherming kan persoonsgegevens kunnen alleen plaatsvinden als deze strikt noodzakelijk zijn om het doel te bereiken. De rechten van de individuen mogen ook niet zwaarder doorwegen dan het publiek belang waarvoor de afwijkingen en beperkingen plaatsvinden;
  • Onafhankelijk toezichtmechanisme: er moet een rechter of een ander soort van onafhankelijke instelling zijn die toezicht houdt op alle inzageverzoeken en andere inbreuken en afwijkingen. Daarvoor moet je in het bijzonder rekening houden met de omvang van de bevoegdheden van dit orgaan;
  • Effectieve remedies: ten laatste moet het individu zijn rechten werkelijk kunnen uitoefenen. Hij moet bijvoorbeeld toegang hebben tot een rechter om zich te verzetten tegen de beoogde verwerking.

Deze garanties bestonden al voor het Schrems II arrest, maar zijn nu verder uitgewerkt door de nieuwe rechtspraak.   

 

Concrete stappen naar aanleiding van de nieuwe maatregelen

Als je de stappen nog niet doorlopen hebt sinds onze laatste blog is het nu wel hoog tijd om dat wel te doen. Voor gegevensexport naar de VS zijn twee punten van buitengewoon belang: een gepaste tool gebruiken als rechtsgrond voor je gegevensexport en aanvullende maatregelen aannemen. Voor het eerste punt is het belangrijk om te weten dat de Europese Commissie een nieuwe versie van de SCCs heeft gedeeld voor publieke consultatie. Binnenkort verschijnt er een nieuwe blog op onze website waarin we de nieuwe SCCs vergelijken met de oude. Wij kunnen je altijd helpen als je feedback wil indienen op deze publieke consultatie. Het tweede punt is bij gegevensuitwisseling naar de VS sowieso vereist aangezien de Amerikaanse wetgeving nog niet veranderd is sinds het Schrems II arrest. Je mag ook een blog verwachten waar we aan de hand van een aantal use cases toereikende aanvullende maatregelen uitwerken.

 

Vragen over Schrems II? 

Je bent altijd welkom met al je vragen bij Bart Van den Brande via bart@siriuslegal.be of Matthias Vandamme via matthias@siriuslegal.be

02.11.2020 Bart Van den Brande

NOYB, de privacyrechtenorganisatie van Max Schrems, mag vanaf nu groepsvorderingen voeren in België

GDPR is er inmiddels al een hele poos en toch zijn nog heel veel bedrijven niet compliant.  Vaak komt dat door een verkeerd begrip of een beperkte kennis van de wetgeving, maar in heel wat gevallen is het ook een bewuste keuze van het bedrijf in kwestie.  Er zijn immers nauwelijks controles, toch…?

Ondanks het feit dat de Gegevensbeschermingsautoriteit sinds januari 2020 heel wat actiever geworden is dan voorheen, zijn er inderdaad relatief weinig controles en boetes en is de druk die bedrijven voelen om zich in regel te stellen nog steeds erg klein.  Maar daar zou wel eens snel verandering in kunnen komen, nu NOYB (None of Your Business), de privacyrechtenorganisatie van Max Schrems, bij Ministrieel Besluit erkend werd als organisatie die in naam van gedupeerde burgers groepsvorderingen of “class actions suits” mag voeren in België…

 

Wat zijn class actions ook alweer?

Consumenten kunnen sinds een jaar of vijf in groep naar de rechter stappen om een schadevergoeding te eisen als zij allemaal individueel schade lijden door dezelfde fout van een bedrijf (of vereniging of overheid). 

De wet voorziet daarbij een zeer strikte procedure die gevolgd moet worden en waarvoor uitsluitend de Ondernemingsrechtbank in Brussel bevoegd is.  

De bedoeling van het systeem is om consumenten meer macht te geven ten aanzien van grote bedrijven.  In het verleden moesten gedupeerden van bijvoorbeeld een productiefout in een smartphone allemaal afzonderlijk een advocaat onder de arm nemen en afzonderlijk naar de rechtbank trekken.  Heel vaak deden mensen die moeite niet, zeker niet als het over relatief kleine bedragen ging, waarbij de advocatenkosten hoger zijn dan de schadevergoeding die de gedupeerden zouden kunnen bekomen. Daaraan wil de class action procedure, of de groepsvordering in mooi Nederlands, sinds een paar jaar verhelpen door mensen het recht te geven om in groep en altijd onder de leiding van één van de daartoe erkende consumentenorganisaties (Test-Aankoop, Gezinsbond, ziekenfondsen) naar de rechtbank te trekken.

Eén van de domeinen waar een bedrijf potentieel schade kan veroorzaken aan een (zeer) grote groep is vanzelfsprekend databescherming.  Bij een datalek kunnen de gegevens van duizenden, zelfs tienduizenden, mensen in verkeerde handen komen.  Het hoeft dan ook niet te verwonderen dat het systeem van groepsvorderingen sinds 2018 aanzienlijk is uitgebreid naar schade ontstaan onder GDPR.  Wie aansprakelijk is voor bijvoorbeeld een datalek, dreigt dus sinds de inwerkingtreding van GDPR op te draaien voor alle materiële en morele schade veroorzaakt aan de -vaak duizenden- personen wiens gegevens getroffen zijn.

België is overigens tot nader order het enige EU-land dat een specifieke goedkeuringsprocedure heeft voor buiten zijn grondgebied gevestigde consumentenorganisaties om collectieve vorderingen in te dienen.

 

En wie zijn Max Schrems en NOYB?

Tot noch toe zijn er -bij ons weten althans- geen class actions gevoerd in België op basis van GDPR.  Wellicht speelt het feit dat binnen de groep van erkende consumentenorganisaties geen echt gespecialiseerde organisatie zit daarin mee.

Dat dreigt nu echter snel te veranderen. In september verscheen immers een ministerieel besluit tot goedkeuring van NOYB (“None of Your Business”) in het Belgisch Staatsblad.  

NOYB is de belangenorganisatie of drukkingsgroep van de Oostenrijker Max Schrems. Die laatste kennen we natuurlijk als de man die eigenhandig achtereenvolgens het Safe Harbour principe en -afgelopen zomer pas- het Privacy Shield onderuit haalde voor het Europees Hof van Justitie en daarmee een bom legde onder gegevensuitwisseling met de Verenigde Staten en dus met de werking van ons internet in het algemeen.

NOYB heeft de afgelopen jaren een reputatie opgebouwd als de pitbull van het privacyrecht.  Ze voeren actief campagne in gans Europa tegen het al genoemde Privacy Shield, tegen inbreuken op de cookiewetgeving, tegen het gebruik van tracking-ID’s op smartphones door partijen als Google, tegen het verplicht aanmaken van accounts om online goederen of diensten te kopen of te gebruiken, …  Hun acties bestaan uit petities en awareness, maar ook uit klachten bij verschillende gegevensbeschermingsautoriteiten en dus ook uit het voeren van rechtszaken en class actions in verschillende EU-lidstaten.

 

Stroomversnelling voor GDPR compliance?

De goedkeuring die ze zopas verkregen, betekent dat NOYB in België groepsvorderingen zal kunnen indienen en namens gebruikers van een bedrijf schadevergoeding zal kunnen eisen voor de overtreding van verschillende wetten met betrekking tot consumentenbescherming, en meer specifiek natuurlijk voor inbreuken op GDPR en ePrivacy.

Gelet op de reputatie van NOYB verwachten we dat het niet lang zal duren voor de eerste grote rechtszaken volgen in België.   NOYB zal immers zichzelf willen tonen en enkele voorbeeldcases op tafel willen leggen.  

Wie de eerstkomende tijd het slachtoffer is van een data breach en/of wie er niet in slaagt om de rechten van betrokkenen correct na te leven en/of wie het niet al te nauw neemt met de anti-spamregels, is bij deze gewaarschuwd.  

De financiële gevolgen voor wie veroordeeld wordt in het kader van een class action kunnen desastreus zijn en in onze ogen is de aankomst op de Belgische “markt” van NOYB een zoveelste reden voor bedrijven om dringend werk te maken van grondige GDPR compliance. 

 

Meer weten?

Heb je vragen over GDPR of wil je weten wat Sirius Legal voor jou kan doen?  Bel ons gerust op +32 486 901 931 of mail naar bart@siriuslegal.be 

07.09.2020 Matthias Vandamme

Schrems-II, wat nu? Data export naar de VS in 7 stappen

Schrems-II is niet de dubbelganger van de Oostenrijkse privacyactivist Max Schrems en het is ook niet de naam van zijn kind. Het is de naam van zijn tweede overwinning begin deze zomer bij het Europees Hof van Justitie. We schreven er toen al een blog over want de gevolgen van dit arrest zijn enorm voor gegevensexport naar het buitenland. Er werd geen gratieperiode toegekend waardoor elke onderneming die gegevens naar een derde land exporteert meteen zijn zaken op orde moet stellen. Schrems kende zichzelf ook geen rustperiode toe, maar legde al meteen 101 klachten neer bij diverse gegevensbeschermingsautoriteiten in de EU. Ook Belgische ondernemingen zijn niet gespaard gebleven: tegen bpost.be, neckermann.be, logic-immo.be en flair.be werd al een klacht neergelegd. Dit is dus geen ver-van-je-bed-show, je exporteert gegevens naar de VS voor je het weet. Talloze frequent gebruikte tools zoals Google Analytics, Hubspot, Sharpspring, Facebook, Twitter exporteren data naar de VS, dus quasi elke onderneming in België is geïmpacteerd. 

Recent gaf een Duitse gegevensbeschermingsautoriteit (van Baden-Württemberg) als eerste meer concrete richtlijnen over hoe het leven verder gaat na het Schrems-II arrest. We hebben deze richtlijnen grondig bestudeerd en geven hier de belangrijkste bevindingen voor je weer in een aantal stappen.  

 

Stap 1: maak een inventaris van alle gegevens die je exporteert naar derde landen

Als je al een dataregister hebt, is dit een eenvoudige stap voor jou en kan je ineens naar de volgende stap gaan. Is het woord ‘dataregister’ chinees voor jou, dan leggen we dit graag even uit.

De Algemene Verordening Gegevensbescherming (AVG of GDPR) legt aan elke verwerkingsverantwoordelijke de verplichting op om alle verwerkingsactiviteiten vast te leggen die onder haar verantwoordelijkheid plaatsvinden. Concreet breng je in zo’n dataregister een aantal zaken in kaart voor alle gegevens die je verzamelt: de doeleinden, de middelen, de rechtsgrond, de risico’s voor de privacy van de betrokkenen, de toegang tot die gegevens, de doorgifte aan derden, … Zo krijg je een overzicht van alle datastromen binnen de onderneming. Dit vereenvoudigt de eventuele controles en audits aanzienlijk.

Je kan hiervoor gebruik maken van een aantal kwalitatieve vragenlijsten of evaluatietools, maar uiteraard kan Sirius legal je hierbij gespecialiseerde ondersteuning bieden.

 

Stap 2: contacteer je dienstverleners/contractpartijen in het derde land

Je doet er goed aan om al je contractpartijen, dienstverleners en dergelijke te informeren over het Schrems-II arrest en de gevolgen hiervan. Sirius Legal heeft hiervoor een standaard brief template gemaakt met een Data Exhange Vendor Assessment. Je kan deze template gratis downloaden onderaan dit blogbericht.

Met ‘derde land’ willen we niet elk ander land dan je eigen land zeggen, maar wel elk land dat buiten de Europese Economische Ruimte ligt, dat is de EU uitgebreid met Noorwegen, Ijsland en Liechtenstein.

 

Stap 3: ga na of er een beslissing over een passend beschermingsniveau in het derde land is

Voor sommige derde landen heeft de Europese Commissie beslist dat dit land een passend beschermingsniveau biedt (‘een adequaatheidsbesluit’), dus kan je de gegevensexport naar die landen op basis van die beslissing doen. De volledige lijst van die landen kan je op de website van de Europese Commissie vinden. Momenteel zijn er onderhandelingen bezig met Zuid Korea. We volgen dit uiteraard op en houden je via onze blog en sociale media continu op de hoogte over eventuele wijzigingen.

 

Stap 4: beoordeel de juridische situatie van het derde land 

Wanneer er sprake is van gegevensexport naar een derde land waar geen beslissing over een passend beschermingsniveau is, dan komen we bij de volgende stap. De gegevensbeschermingsautoriteit van Baden-Württemberg raadt in dat geval aan om de juridische situatie van dat derde land grondig te onderzoeken. Het is in dit kader vooral interessant om na te gaan of nationale veiligheidsinstanties toegang kunnen krijgen tot de geëxporteerde gegevens.

Je kan hiervoor ten rade gaan bij je nationale gegevensbeschermingsautoriteit (in België is dat de GBA, in Nederland de AP, in Frankrijk de CNIL en in Engeland de ICO), de Europese Commissie, de EDPB, het nationaal ministerie van buitenlandse zaken, …

We begrijpen maar al te goed dat dit een ingewikkeld en tijdsintensief karwei is. Sirius Legal beschikt over een omvangrijk netwerk van buitenlandse advocaten gespecialiseerd in deze materies. Zo kunnen we voor bijna elk derde land onze eigen ‘gepastheidsbeoordeling’ maken.

 

Stap 5: beoordeel of SCCs volstaan

Nu je op de hoogte bent van de juridische situatie in het derde land is het tijd om te beoordelen of de standaard contractuele clausules (SCCs) volstaan. Deze zijn in het leven geroepen door de Europese Commissie voor gegevensexport naar derde landen. Het zijn overeenkomsten die je kan sluiten de verwerkingsverantwoordelijke of verwerker in dat derde land. Als er geen problemen werden gevonden in de bovenstaande stap, dan kan je deze SCCs zonder meer gebruiken. Hou wel in het achterhoofd dat de Europese Commissie deze SCCs aan het herzien zijn. Als de SCCs niet volstaan, ga dan naar de volgende stap.

 

Stap 6: creëer aanvullende garanties en gebruik aangepaste SCCs

De gegevensbeschermingsautoriteit van Baden-Württemberg stelt een aantal aanvullende garanties voor. Ten eerste de encryptie (versleuteling) van de gegevens aan jouw kant. Zorg er in dat geval voor dat jij als exporteur de enige bent met de ‘sleutel’ om de gegevens te ontcijferen en dat de encryptie niet zomaar kan worden ontsleuteld. We nodigen je uit om het artikel “Is encryptie verplicht onder GDPR” te lezen als je meer wil weten over encryptie. 

Ten tweede de anonimisering of pseudonimisering van de gegevens aan jouw kant. Zo zorg je ervoor dat de ontvanger van de gegevens niet zomaar kan weten over wie het nu werkelijk gaat. Denk eraan dat dit proces vaak al begint voor je de gegevens nog maar ingeeft of ergens uploadt. 

Vervolgens stelt de gegevensbeschermingsautoriteit van Baden-Württemberg een aantal concrete aanpassingen en aanvullingen voor op de SCCs:

  • Een verplichting voor de gegevensexporteur om de betrokkene te informeren dat zijn of haar gegevens naar een derde land gaan dat geen passend beschermingsniveau biedt;
  • Een verplichting voor de gegevensimporteur om zowel de exporteur als de betrokkene op de hoogte te brengen van elk verzoek tot inzage van de gegevens. Als dit niet mogelijk is, de verplichting om de nationale gegevensbeschermingsautoriteit van de exporteur hiervan op de hoogte te brengen;
  • Een verplichting voor de gegevensimporteur om juridische stappen te nemen tegen elk verzoek om inzage en deze uit te putten;
  • De toekenning van meer rechten aan de betrokkene in een geschil met de gegevensimporteur en de toevoeging van een compensatieclausule.

 

Stap 7: en als dat allemaal niet helpt…

Het is mogelijk dat alle bovenstaande maatregelen ofwel niet mogelijk zijn ofwel nog steeds onvoldoende waarborgen bieden. In dat geval vermeldt de gegevensbeschermingsautoriteit van Baden-Württemberg dat er nog een alternatieve optie bestaat, maar dat deze alternatieven heel strikt geïnterpreteerd worden en dus weinig aanvaard als reden om gegevens te exporteren naar een derde land. Hieronder valt bijvoorbeeld de mogelijkheid om de toestemming van de betrokkene te vragen voor de gegevensexport. Deze toestemming moet wel voldoen aan alle vereisten van de GDPR. M.a.w. de toestemming moet vrij zijn, specifiek, geïnformeerd en ondubbelzinnig.

Als al het bovenstaande niet heeft mogen baten is het allicht veiliger om de samenwerking met de partner te stoppen. 

 

Een gewaarschuwde onderneming telt voor twee

Onze vorige blogpost over het Schrems-II arrest en deze blogpost zou je al een heel eind op weg moeten helpen. Er komen vast nog een aantal adviezen, richtlijnen en dergelijke aan van andere gegevensbeschermingsautoriteiten die meer duidelijkheid bieden. Wij volgen deze uiteraard steeds op en informeren je hierover op onze blog en sociale media. Voorlopig kan je alvast met de volgende stappen aan het werk gaan:

Stap 1: raadpleeg je dataregister/ stel een dataregister op

Stap 2: informeer je dienstverleners/ contractpartijen

Stap 3: ga na of er beslissing over het passend beschermingsniveau is

Stap 4: beoordeel de juridische situatie

Stap 5: ga na of SCCs volstaan

Stap 6: zo niet, creëer aanvullende garanties en sluit aangepaste SCCs

Stap 7: de gegevensexport stoppen/ alternatief

 

Vragen rond gegevensexport onder GDPR of hulp nodig bij een audit van jouw lopende contracten?

Bel of mail gerust vrijblijvend. Ons team staat je graag te woord. Bellen of mailen kan naar +32 2 721 13 00 of naar bart@siriuslegal.be of matthias@siriuslegal.be

 

22.07.2020 Bart Van den Brande

Persoonsgegevens doorgeven naar de VS na het Schrems-II arrest? Alles wat je moet weten om juridische risico’s te voorkomen.

Het is de Oostenrijker Max Schrems alweer gelukt om zijn slag thuis te halen in één van de vele privacyrechtzaken die hij al jaren met regelmaat voert.  De gevolgen zijn aanzienlijk deze keer.  Nadat eerder al het “Safe Harbor” systeem onderuit werd gehaald, is nu ook het “Privacy Shield” -op volkomen logische gronden overigens- gesneuveld. 

Het “Privacy Shield” tussen de EU en de VS zorgde ervoor dat persoonsgegevens veilig en conform GDPR uitgevoerd konden worden door Europese bedrijven naar de Verenigde Staten.  Heel wat Amerikaanse clouddiensten, apps en software tools baseerden zich op het Privacy Shield om juridisch compliant hun diensten te kunnen aanbieden aan Europese klanten.

Maar dat Privacy Shield blijkt nu dus zelf helemaal niet conform de Europese privacyregels te zijn en het EHJ haalt het hele systeem onderuit.  

Wat betekent dit voor jouw bedrijf?  We overlopen een en ander hieronder.  

 

Doorgifte van persoonsgegevens buiten de EU?

Persoonsgegevens doorgeven aan personen of bedrijven buiten de Europese Unie mag niet zomaar onder GDPR.  De Europese wetgever gaat er van uit dat landen buiten de EU (of beter de EER, dat is de EU uitgebreid met Noorwegen, Ijsland en Liechtenstein) niet per definitie hetzelfde niveau van privacybescherming kunnen bieden als het niveau dat door GDPR in Europa bestaat.  Daarom mogen persoonsgegevens alleen doorgegeven worden buiten de EER onder zeer specifieke voorwaarden.   

In de eerste plaats bestaat er een (zeer korte) lijst met “veilige” landen, die geacht worden een gelijkaardig niveau van bescherming te bieden op basis van hun eigen wetgeving.  Op deze lijst staan, naast een aantal landen uit het Britse Gemenebest, bijvoorbeeld Japan, Canada, Argentinië en Israël.  

Wie gegevens wil doorgeven naar een ontvanger in een land dat niet op deze lijst staat, kan dat grosso modo doen op basis van twee systemen. Als het gaat om doorgifte binnen een groep van bedrijven, dan kan men intern zogenaamde “Binding Corporate Rules” opstellen.  Dat is een soort van intern reglement dat goedgekeurd moet worden door de overheid en dat binnen de groep de veiligheid van doorgifte moet garanderen.  Als men data wil doorgeven aan een bedrijf dat niet tot dezelfde groep behoort, zoals bijvoorbeeld een cloud provider, een externe software developer, een offshore call center, etc… daarentegen zal men moeten zorgen dat er een overeenkomst getekend wordt met de ontvanger waarin een hele reeks waarborgen expliciet voorzien is.  De Europese Commissie heeft met dit doel standaard contractclausules in het leven geroepen die één op één gekopieerd kunnen worden in zo’n overeenkomst.

Wie persoonsgegevens doorgeeft en daarbij niet kan terugvallen op één van deze juridische constructies, riskeert bijzonder hoge boetes.

 

Privacy Shield?

Heel wat technologiebedrijven zitten in de Verenigde Staten en er is dan ook heel wat data-export of export van persoonsgegevens van de EU naar de VS.  Omdat de privacywetgeving in de VS echter absoluut niet hetzelfde “adequate” niveau haalt als de strenge vereisten die GDPR in de EU vooropstelt, is de VS nooit op de korte lijst met “veilige landen” geplaatst door de EU.  

Om ervoor te zorgen dat Amerikaanse bedrijven toch handel konden blijven voeren met partners in de EU heeft men al geruime tijd geleden een ander en specifiek systeem opgezet voor gegevensuitwisseling tussen Europa en de Verenigde Staten.  Dat systeem heette achtereenvolgens het Safe Harbor systeem en later het Privacy Shield en voorkwam dat Amerikaanse bedrijven een overeenkomst met standaard contractclausules moesten afsluiten met hun klanten in de EU telkens er gegevens aan hen doorgegeven moesten worden, bijvoorbeeld omdat die op hun servers bewaard of verwerkt moesten worden.  Safe Harbor en Privacy Shield zorgen ervoor dat Amerikaanse bedrijven geacht worden een adequaat niveau van veiligheid voor persoonsgegevens te kunnen garanderen als zij aan een aantal strikte voorwaarden voldoen en daartoe in de VS gecertifieerd worden.  Het is dus niet de Amerikaanse wetgeving, maar wel het veiligheidsniveau aangeboden door Amerikaanse bedrijven dat “adequaat” is.      

De eerste versie van dit systeem, Safe Harbor, werd in 2015 al succesvol aangevallen door Max Schrems, die van oordeel was dat geen enkel Amerikaans bedrijf een “adequaat” niveau van veiligheid voor persoonsgegevens kan garanderen omdat de Amerikaanse wetgeving aan Amerikaanse inlichtingendiensten vergaande rechten verleent om persoonsgegevens te monitoren en te analyseren.  Deze klacht leidde er uiteindelijk toe dat het Safe Harbor systeem ongeldig werd verklaard en werd vervangen door een gelijkaardig systeem dat onder de naam Privacy Shield ging.

Over de geldigheid van dat Privacy Shield, zegt het Europees Hof nu zeer terecht dat ook deze regeling niet kan zorgen voor een beschermingsniveau dat gelijkwaardig is aan het beschermingsniveau dat bestaat binnen de EU. Opnieuw is de reden daarvoor de vergaande inmenging van Amerikaanse inlichtingendiensten, die systematisch en op grote schaal data monitoren uit bijvoorbeeld e-mails en cloudopslagdiensten op basis van bijvoorbeeld de Foreign Intelligence Surveillance Act of Executive Order 12333 of nog de Presidential Policy Directive. Het Hof verklaart het Privacy Shield dan ook -terecht- ongeldig.

 

Wat betekent dit voor mijn bedrijf?

Deze beslissing heeft verstrekkende gevolgen. Héél wat online dienstverleners uit de VS baseren zich immers op het Privacy Shield om rechtsgeldig persoonsgegevens van hun Europese klanten te kunnen verwerken.   Heel dat systeem valt nu met één pennentrek in duigen en duizenden Amerikaanse bedrijven voldoen niet meer aan de minimale voorwaarden om persoonsgegevens van Europese burgers te bewaren of verwerken.  Het gaat dan bijvoorbeeld om cloudopslagdiensten, hostingdiensten, allerlei online tools voor online marketing, CRM, boekhoudpakketten, ERP, maar bijvoorbeeld ook lokale software developers, consultants, call centers, etc…  

Strikt genomen mogen Europese bedrijven van de ene dag op de andere niet meer samenwerken met deze Amerikaanse partners.  Als zij dat toch doen stellen ze zich bloot aan immense boetes en als er zich enige vorm van datalek zou voordoen bij zo’n niet conforme partner in de VS, dreigen de betrokken Europese bedrijven bovendien op te draaien voor alle aan zo’n datalek verbonden schade, bovenop de reeds vernoemde boetes. 

 

Een bijkomend probleem: Brexit

Niet enkel gegevensexport naar de VS onder het Privacy Shield  is overigens een probleem.  Tegen eind 2020 tekent zich een even groot juridisch probleem af voor Europese bedrijven die gegevens uitvoeren naar het Verenigd Koninkrijk.  Als er tegen eind 2020 geen Brexit deal is, wordt het VK vanaf dat ogenblik immers een “derde” land, dat voorlopig geen adequaatheidsbesluit van de Europese Commissie heeft en waarnaar dus niet langer automatisch persoonsgegevens geëxporteerd mogen worden.

Britse bedrijven bevinden zich met andere woorden tegen eind dit jaar in dezelfde situatie als Amerikaanse bedrijven: zij zullen met hun Europese klanten dataexportovereenkomsten moeten afsluiten op basis van de standaard contractclausules van de Europese Commissie, bij gebreke waaraan Europese bedrijven niet meer met hen zullen mogen samenwerken.

 

De oplossing

Het Hof oordeelde gelukkig wel dat het systeem van standaard contractclausules wél rechtsgeldig kan blijven bestaan. De oplossing ligt dan ook voor de hand: Europese bedrijven moeten ervoor zorgen dat alle samenwerkingen met Amerikaanse partners die gebaseerd waren op het Privacy Shield zo snel mogelijk vervangen worden door een overeenkomst op basis van de standaard contractclausules van de Europese Commissie… 

De Commissie heeft overigens gewerkt aan de modernisering van die standaard clausules, die teruggaan tot 2010 en niet meer GDPR conform zijn.  Men heeft even gewacht tot de Schrems-II zaak was opgelost, maar we mogen nu de bijgewerkte clausules eerstdaags verwachten. Wie zich in het verleden baseerde op de oude clausules, zal deze dus binnenkort wellicht ook moeten updaten…

 

Wat moet je dan precies doen?

1.Kijk goed uit naar nieuwe richtlijnen van jouw lokale Gegevensbeschermingsautoriteit, de EDPB en de Europese Commissie.

2. Doe intussen een interne audit op je lopende overeenkomsten en let op voor:

  • Gegevensoverdracht naar Amerikaanse partners die tot nu toe onder het Privacy Shield vielen
  • Gegevensoverdracht naar Britse partners die tot nu toe binnen de EU vielen
  • Gegevensoverdracht naar elk ander land op basis van de “oude” standaard contractclausules
  • Gegevensoverdracht die afhankelijk is van bindende bedrijfsregels en die gegevensoverdracht naar de VS met zich meebrengt.  Het EHJ vermeldt geen Binding Corporate Rules, maar ze zijn een vorm van “passende bescherming” overeenkomstig artikel 46, dus de algemene opmerkingen over de noodzaak om de wet van het importerende land te beoordelen zouden hier ook van toepassing kunnen zijn. Begeleiding op dit punt van toezichthoudende autoriteiten zou bijzonder welkom zijn.

3. Beoordeel voor elke partner of het bestaande kader nog voldoende is

4. Zorg waar nodig voor een nieuwe dataexportovereenkomst op basis van de nieuw af te kondigen standaard contractsclausules

5. Hou in het achterhoofd dat doorgifte van gegevens buiten de EU in se enkel kan als die noodzakelijk is en kies bij voorkeur voor Europese partners 

6. Hou rekening met de noodzaak die het Europees Hof van Justitie ook oplegt om het “passend” karakter van de lokale wetgeving te beoordelen, zelfs als er standaard contractclausules (of Binding Corporate Rules binnen een groep van bedrijven) gebruikt worden.  

7. Controleer dus, eventueel op basis van een Vendor Assessment List, de volgende punten:

  • Naar welk land persoonlijke gegevens worden overgedragen
  • Of overheidsinstanties in dat land recht zouden kunnen hebben op toegang tot de gegevens
  • Worden de gegevens tijdens het transport versleuteld of getokeniseerd (zie hieronder)
  • Of er, zoals GDPR vereist, naast de standaard contractclausules of Binding Corporate Rules voldoende waarborgen genomen zijn door de ontvanger om het gebrek aan gegevensbescherming in zijn of haar land te compenseren. De gegevensexporteur heeft de plicht te zorgen voor “passende waarborgen”, vooral wat betreft de toegang van overheidsinstanties tot gegevens. Als de (Europese) gegevensimporteur verplicht kan zijn om gegevens ter inzage aan zijn of haar overheid voor te leggen, kan hij niet voldoen aan de vereiste van een “gepast beschermingsniveau en moet hij dat vooraf melden aan de gegevensexporteur.  Dit is met name voor de VS een immens probleem omwille van de al eerder aangehaalde wetgeving rond inlichtingendiensten…  In dat geval moet de gegevensexporteur elke doorgifte onmiddellijk stopzetten.

8. Stop desnoods de samenwerking met partners die niet kunnen of willen voldoen aan de vereiste voorwaarden.  De potentiële gevolgen voor jouw bedrijf zijn veel te groot om risico’s te nemen…  

 

 

Is elke gegevensoverdracht naar de VS dan illegaal?

Dit arrest legt een tijdbom onder zowat élke gegevensoverdracht naar de VS, overigens.  Vrijwel alle Europese data wordt immers via onderwaterkabels op de bodem van de oceaan naar de VS overgebracht. Het EHJ merkt op dat de Amerikaanse NSA systematisch toegang heeft tot deze kabels en gegevens kan verzamelen en bewaren voordat deze in de VS aankomen. 

Het EHJ zegt terecht dat dit de facto betekent dat persoonsgegevens nooit “veilig” zijn in de VS en nooit verwerkt kunnen worden “met de minimale waarborgen … met als gevolg dat de bewakingsprogramma’s die op deze bepalingen zijn gebaseerd, niet kunnen worden beschouwd als beperkt tot wat strikt noodzakelijk is“. Het EHJ merkt verder op dat: “In die omstandigheden de beperkingen op de bescherming van persoonsgegevens die voortvloeien uit de nationale wetgeving van de Verenigde Staten betreffende de toegang tot en het gebruik door de Amerikaanse overheid van dergelijke gegevens die van de Europese Unie naar de Verenigde Staten worden overgedragen Staten, die de Commissie in het Privacy Shield besluit heeft beoordeeld, zijn niet zodanig omschreven dat zij voldoen aan eisen die in wezen gelijkwaardig zijn aan die welke krachtens het EU-recht vereist zijn … “.

Dit betekent met andere woorden dat de Amerikaanse wet op zich onverenigbaar is met de minimale gegevensbeschermingsvereisten van de EU. Aangezien alle gegevens die via een onderzeese kabel naar de VS worden verzonden, gevoelig lijken te zijn voor toegang door de NSA, is het moeilijk te zien hoe een gegevensexporteur zou kunnen concluderen dat zijn gegevens voldoende worden beschermd door de ontvanger in de VS.  Het is nog even afwachten om te zien hoe de verschillende Gegevensbeschermingsautoriteiten en de EDPB hierop reageren… 

 

Vragen rond gegevensexport onder GDPR of hulp nodig bij een audit van jouw lopende contracten?

Bel of mail gerust vrijblijvend. Ons team staat je graag te woord.  Bellen of mailen kan naar +32 486 901 931 of naar bart@siriuslegal.be