Dat het Schrems II arrest van afgelopen zomer heel wat stof heeft doen opwaaien is een understatement. Heel wat bedrijven zijn bijzonder ongerust over de impact van het wegvallen van het Privacy Shield tussen de VS en Europa en over de strengere interpretatie van data exportregels van de EU naar gebieden buiten de EU. De recente Mailchimp beslissing, waarover we al eerder schreven op onze blogpagina’s heeft daarbij alleen maar olie op het vuur gegooid.
Maar gelukkig wordt de soep niet altijd zo heet gedronken als ze geschonken wordt. Een recente beslissing van de Franse Conseil d’Etat maakt duidelijk dat het Schrems II arrest heus niet hoeft te betekenen dat Europese bedrijven helemaal geen beroep meer kunnen doen op niet-Europese (meestal Amerikaanse) dienstverleners. Hoe zit de vork dan precies in de steel en wat moet je als ondernemer wel en niet doen? Dat proberen we hieronder op een rijtje te zetten.
Hoe zat het ook weer met dat hele Schrems II verhaal?
Afgelopen zomer oordeelde het Europees Hof van Justitie in haar Schrems II-arrest dat het zogenaamde “Privacy Shield” dat de uitwisseling van persoonsgegevens van de EU naar de VS mogelijk maakte zonder bijkomende waarborgen of beperkingen in strijd was met het Europees recht en met name met GDPR. Premisse van het Privacy Shield was immers de “belofte” van Amerikaanse bedrijven dat de persoonsgegevens van Europese burgers eenzelfde niveau van veiligheid zouden genieten in de VS als in de EU en dat uitgangspunt is de facto onmogelijk. Amerikaanse veiligheidswetgeving, zoals bvb de FISA act, geven Amerikaanse inlichtingendiensten immers vergaande inzagerechten in (Europese of andere) datastromen die de VS binnenkomen. Europese data is dus nooit echt “veilig” in de VS en die vaststelling betekende meteen ook het einde van het Privacy Shield.
De gevolgen hiervan zijn potentieel érg vergaand. Quasi alle software tools die Europese bedrijven vandaag gebruiken, zijn immers Amerikaans en aangezien de meeste daarvan tegenwoordig cloud services of online tools zijn, is er per definitie sprake van gegevensuitvoer naar de VS.
Het probleem werd enkel maar groter als we ook rekening houden met het feit dat het EHJ daar ook aan toevoegde dat wie data exporteert buiten de EU (ook naar andere bestemmingen dan de VS), meteen rekening moet houden met het feit dat de Standard Contract Clauses die de Europese Commissie zélf voorziet om veilige gegevensexport te garanderen tussen bedrijven en organisaties binnen en buiten de EU niet volstaan.
Het Schrems II-arrest zegt immers zeer duidelijk dat overdrachten van persoonsgegevens aan cloudserviceproviders in de Verenigde Staten geval per geval beoordeeld moeten worden en indien er een risico bestaat voor de integriteit van de betreffende gegevens, moeten bijkomende veiligheidswaarborgen voorzien worden. Die aanvullende waarborgen dringen zich bij export naar de VS bijna automatisch op, gelet op de zeer vergaande onderzoeksbevoegdheden van de Amerikaanse inlichtingendiensten, bijvoorbeeld op grond van sectie 702 (50 USC § 1881a) van de Foreign Intelligence Surveillance Act (Cloud Services Act).
Dus geen data export meer naar de VS?
Wie vorige week ons blogartikel over het gebruik van Mailchimp gelezen heeft, zou de indruk kunnen hebben dat data export naar de VS vandaag onmogelijk geworden is als gevolg van het Schrems II arrest. Dat is gelukkig echter niet het geval.
We gaven in dat artikel al mee dat heel veel afhankelijk is van jouw eigen specifieke context en de “gevoeligheid” van jouw data en we legden ook al uit dat het jouw taak is als ondernemer om een correcte inschatting te maken van die context en van de veiligheid van jouw data bij de ontvangende partij. Om die veiligheid te verzekeren zal je zelf moeten zorgen voor gepaste “bijkomende veiligheidsmaatregelen” bovenop de standaard contractuele garanties die de ontvangende partij je moet geven in de vorm van zogenaamde “Standard Contract Clauses”. Eén van die bijkomende maatregelen kan bijvoorbeeld de voorafgaande encryptie van je data zijn, zodat ze aan de ontvangende zijde niet kan uitgelezen worden.
Als je bovenstaande graag rustig uitgelegd ziet, kan je overigens terecht op ons Youtube kanaal. Je vindt er de opname van een recent Schrems webinar waarin we samen met onze partners van de IT & Data Protection Practice Group van Consulegis een overzicht geven van internationale data export en de impact van Schrems II vanuit Amerikaans, Indisch, Brits en Europees perspectief.
En wat heeft de Franse Raad van State hiermee te maken?
We begonnen ons verhaal met de melding dat de Franse Raad van State zopas verduidelijkte dat Europese bedrijven wel degelijk nog kunnen samenwerken met Amerikaanse partners in het kader van verwerking van persoonsgegevens. Tijd dus om even te kijken wat de Conseil d’Etat in Frankrijk precies gezegd heeft…
De Franse regering werkt al een hele tijd aan een nationaal platform voor de verwerking van medische gegevens van Franse burgers, een beetje zoals het eHealth platform bij ons in België. Dat Franse platform heet Doctolib en het staat ondermeer in voor het boeken van afspraken voor Covid-19 vaccinaties.
De servers van Doctolib worden, zoals ongeveer 33% van alle serverruimte in Europa, gehost door het Luxemburgse Amazon Web Services (AWS). De servers van AWS staan weliswaar in Frankrijk en Duitsland, maar AWS is wel een onderdeel van de Amerikaanse Amazon-groep. De vaststelling dat de gezondheidsgegevens van miljoenen Franse burgers verwerkt zouden worden op een platform dat gehost wordt door (de dochteronderneming van) een Amerikaans bedrijf, zorgde voor behoorlijk wat onrust in Frankrijk en leidde uiteindelijk tot een procedure voor de Raad van State in een poging om die beslissing teniet te doen en de Franse overheid te dwingen een Europees alternatief te kiezen.
De Conseil d’État wees echter het verzoek tot opschorting van het partnership tussen de Frase overheid en Doctolib af.
De Raad van State zegt daarbij 3 belangrijke dingen:
- Het loutere feit dat er samengewerkt wordt met een Amerikaans bedrijf betekent niet dat er per definitie sprake is van data export naar de VS. In casu staan alle servers in de EU. Die vaststelling is meteen een hele geruststelling voor de miljoenen Europese bedrijven en zelfstandigen die werken met software van bijvoorbeeld Microsoft of Google of die serverruimte hebben bij AWS, Azure of Google Cloud Services. Dat zijn stuk voor stuk Amerikaanse bedrijven, maar daarom is er nog niet automatisch sprake van data export. Het feit dat bijvoorbeeld Google haar klanten zelf laat kiezen voor opslag in de Amerikaanse, Europese of binnenkort ook Russische Google cloud, is wat dat betreft een hele geruststelling.
- De Franse Raad van State zegt er wél meteen bij dat er wel degelijk een (potentieel) risico bestaat op toegang door Amerikaanse wetshandhavingsinstanties tot de persoonsgegevens die op Europese servers van een Amerikaans bedrijf (of haar dochteronderneming) staan. Amerikaanse veiligheidswetgeving is immers ook van toepassing op Amerikaanse bedrijven buiten de VS. Dat is dan weer minder goed nieuws voor diezelfde miljoenen Europese bedrijven die samenwerken met Amerikaanse suppliers…
- Vervolgens stellen de rechters vast dat de Franse staat een voldoende risico-analyse gemaakt heeft en voor voldoende juridische en technische “bijkomende waarborgen” gezorgd heeft om de uitwisseling van persoonsgegevens met een Amerikaans bedrijf toch te rechtvaardigen. Het contract tussen Doctolib en AWS voorziet bijvoorbeeld dat AWS elk algemeen inzageverzoek (van de Amerikaanse overheid) zou weigeren en aanvechten. Op technisch vlak is bovendien sprake van vergaande encryptie van alle bij AWS gehoste data en dat de sleutel wordt bewaard door een vertrouwde derde partij in Frankrijk (en niet door AWS zélf, dat eventueel gedwongen zou kunnen worden om de sleutel uit handen te geven aan de Amerikaanse overheid).
Wat leren we hieruit?
Hoewel deze zaak geen betrekking heeft op de doorgifte van persoonsgegevens naar de VS, toont het arrest in elk geval wél aan dat Schrems II, volgens de hoogste Franse rechtbank, EU-bedrijven niet per definitie verbiedt om samen te werken met Amerikaanse aanbieders van clouddiensten. De uitspraak illustreert vooral de noodzaak tot grondig voorafgaand onderzoek én tot het nemen van voldoende bijkomende waarborgen om dataveiligheid te garanderen. Tegelijk geeft het arrest ook aan dat zulke garanties niet alleen absoluut nodig zijn als data effectief getransfereerd wordt naar de VS, maar dat ze ook aangewezen (kunnen) zijn in situaties waarin samengewerkt wordt met Europese dochterondernemingen en waarin de data wel in de EU gehost wordt of althans waar gezegd wordt dat dat zo is (let wat dat betreft op de kleine lettertjes, die vaak uitzonderingen voorzien voor noodgevallen ,waarbij data toch omgeleid of in back-up gezet kan worden buiten de EU…)
Vragen over GDPR, data export of gegevensbescherming in het algemeen?
We maken graag tijd voor je. Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.