Management

Privacy
De smeerboel na Schrems II

De smeerboel na Schrems II

De Europese privacywaakhonden hadden moeten voorzien dat het Europese Hof een streep zou zetten door het Privacyshield.

23 oktober 2020

Eerder schreef Walter van Holst bij iBestuur al over Schrems II, de uitspraak van het Europees Hof van Justitie over de doorgifte van persoonsgegevens buiten de EER (Europese Economische Ruimte ). Nog even ter herinnering: het Hof oordeelt in die zaak specifiek over de deal tussen de VS en EU om doorgifte van persoonsgegevens naar de VS te borgen: ‘Privacyshield’. En daar heeft het Hof een streep doorheen gezet.

Waarom dan mijn titel ‘smeerboel’? Het is in ieder geval geen (enkel) verwijt aan het Hof. Sterker nog, de uitspraak van het Hof is volkomen terecht. En viel ook te verwachten na de Schrems I uitspraak. Want in Schrems I oordeelde het Hof destijds al dat de Safe Harbor afspraak tussen de EU en de VS (de voorganger van Privacyshield) geen stand kon houden.

Maar het Hof heeft niet alleen Privacyshield afgeschoten, maar ook een kritische noot over de Standard Contractual Clauses (SCC) opgenomen. Je kunt niet volstaan met het simpel ondertekenen van de SCC. Je moet ook toetsen in het land van doorgifte hoe het met de nationale wetgeving zit, en met name of die wetgeving geen afbreuk doet aan de bescherming die je via die SCC’s wilt creëren.

Dat brengt me op mijn punt: het is Europa die er dus een smeerboel van maakt. Zeker als je op je klompen kunt aanvullen dat je nat gaat met Privacyshield. Dat mag niet alleen de EU commissie zich aantrekken (die die afspraak heeft gemaakt en ook de SCC), maar zeker ook de EU-privacywaakhonden. Die EU waakhonden zitten samen in een vehikel genaamd de European Data Protection Board (EDPB). En die hadden deze bui natuurlijk ook (allang) moeten zien hangen.

Drie maanden verder

We zijn inmiddels drie maanden verder, maar nog geen steek opgeschoten. De EU-commissie zegt hard bezig te zijn om de Standard Contractual Clauses te updaten en die komen naar verwachting rond de Kerst. Tegen die tijd zijn we inmiddels een half jaar verder. Met de huidige SCC’s speelt daarbij ook nog steeds het probleem dat er geen variant is voor verwerker/subverwerker. Dus hoe los je op om bijvoorbeeld de cloud van AWS of Azure als subverwerker in te schakelen?

Sterker nog: kan je die überhaupt inschakelen? Microsoft zegt in haar, na Schrems II aangepaste, bijlage ‘Bescherming van persoonsgegevens voor Online Diensten van Microsoft’ nu het volgende:

“Verder is Microsoft gecertificeerd in het kader van de EU-VS- en de Zwitserland-VS-privacyschildraamwerken en de verbintenissen die daaruit voortvloeien, hoewel Microsoft zich gezien de uitspraak van het Hof van Justitie van de EU in zaak C-311/18 niet baseert op het EU-VS-privacyschildraamwerk als rechtsgrond voor de overdracht van persoonsgegevens. Microsoft gaat ermee akkoord de Klant op de hoogte te stellen indien Microsoft tot de vaststelling komt dat Microsoft niet meer kan voldoen aan haar verplichting om dezelfde niveau van bescherming te bieden als op grond van de beginselen van het privacyschild wordt vereist.”

Het is nog maar de vraag of dit voldoet. We weten inmiddels van de Ierse privacywaakhond dat zij de doorgifte naar de VS sowieso uit den boze vindt (en legt Facebook het vuur na aan de schenen op dit punt).

De EDPB is na drie maanden nog niet veel verder dan het benoemen van een taskforce die “will prepare recommendations to assist controllers and processors with their duty to identify and implement appropriate supplementary measures to ensure adequate protection when transferring data to third countries.”

Onze eigen autoriteit persoonsgegevens laat het vooralsnog ook afweten en stelt enkel dit:

“Volgens het Hof kunnen modelcontracten nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd.

Hoe nu verder?
De European Data Protection Board (EDPB) bekijkt wat de praktische gevolgen zijn van de uitspraak. En wat eventuele vervolgstappen kunnen zijn. Op korte termijn komt de EDPB met guidance over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.”

Handen in haar

Maar sinds Schrems II op 16 juli van kracht is, zit zo’n beetje heel ondernemend Europa met de handen in het haar en is er niemand die precies weet hoe je nu moet toetsen of in een bepaald land ‘een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd’.

Ik vind het eerlijk gezegd behoorlijk triest wat de EU hier aan daadkracht laat zien, of beter: het gebrek eraan. Je kunt ondernemers op deze manier niet aan hun lot overlaten. Ik heb niet de illusie dat deze oproep van ene Menno Weij van BDO enig verschil zal maken, maar je weet maar nooit. Dus Europa: tijd voor actie!

Deze column verscheen eerder op iBestuur.nl.

Reactie toevoegen
4
Reacties
Mr A.F. le Gras 29 oktober 2020 15:00

En er is nog een complicatie : Amerikaanse bedrijven zijn verplicht medewerking te verlenen aan verzoeken van de Amerikaanse Overheid om persoonsgegevens van wie dan ook (dus ook van EU burgers) aan te leveren, ongeacht waar het betreffende Amerikaanse bedrijf deze heeft opgeslagen. Dus opslag op EU servers door US bedrijven gaat ook niet werken, omdat door de extra-territoriale werking van de US wetgeving het voor US bedrijven onmogelijk is zich aan opdrachten van de eigen overheid te onttrekken, ook niet als dat een inbreuk oplevert op wetgeving van het land waar de servers staan cq waar het dochterbedrijf is gevestigd.

Dit is overigens niet nieuw. Het probleem is alleen dat de consequenties enorm zijn. Mijn ervaring is dat veel bedrijven nauwelijks wilden / willen geloven dat het de keuze voor software van Amerikaanse origine in feite volledig blokkeert. Liever dacht en denkt men dat de soep wel niet zo heet gegeten zal worden cq dat er wel mouwen aan te passen zouden zijn. Quod non. Waardoor we nu dus een echt probleem hebben.

De oplossing van dit probleem kan uiteraard nooit komen van rechtspraak of privacy waakhonden. Ik denk dan ook dat we er niet aan kunnen ontkomen om het houden, uitwisselen en/of verhandelen van EU persoonsgegevens aan een door de EU uit te geven EU- licentie te binden, waaraan vervolgens voorwaarden verbonden kunnen worden die door een EU autoriteit gehandhaafd moeten worden.

P.J. Westerhof LL.M MIM 24 oktober 2020 15:34

# de AG Connect website heeft kennelijk last van kuren #

Dat de diverse Europese privacyregelgevers steken hebben laten vallen en nog steeds laten vallen is evident.
Het door CJEU eveneens ongeldig verklaren van Standard Contractual Clauses (SCCs) en Binding Corporate Rules (BCRs) zou in juridisch en politiek opzicht tricky zijn geweest.
Maar dat SCC's en BCR's in het verlengde van Privacy Shield in beginsel eveneens ongeldig zijn lag wel érg voor de hand. Toetsing en reparatie daarvan is in beginsel de taak van de privacy-functionaris.

De AP beperkt zich - zoals bekend - noodgedwongen hoofdzakelijk tot advisering.
Maar organisaties die door de uitspraak geraakt worden zullen zonder uitzondering een privacy-functionaris in dienst hebben.
Deze Pf - mits haar/zijn geld waard - zal op de huidige situatie hebben geanticipeerd en tijdig voorbereidende maatregelen hebben getroffen.

De EDPB zou in oktober met richtsnoeren komen. Dat zou dus komende week moeten zijn.

De 'Europese Cloud op het vaste land' is overigens in aantocht : GAIA-X.
Dat hoeft de diverse US-overheden echter niet te belemmeren. Deze gaan namelijk uit van het 'toegangs-principe'.

P.J. Westerhof LL.M MIM 24 oktober 2020 15:22

Dat de diverse Europese privacyregelgevers steken hebben laten vallen en nog steeds laten vallen is evident.
Het eveneens ongeldig verklaren van SCC's en
zou in juridisch en politiek opzicht tricky zijn geweest.

Maar uiteindelijk
De AP
De EDPB zou in oktober met richtsnoeren komen. Dat zou dus komende week moeten zijn.

De 'Europese Cloud op het vaste land' is overigens in aantocht : GAIA X.
Dat hoeft de diverse US-overheden niet te belemmeren. Deze gaan namelijk uit van het 'toegangs-principe'.

Johan van Soest 24 oktober 2020 01:20

Beste Menno,
Een beknopte aanvulling aangezien Uw popularisering het echte probleem niet verduidelijkt en wat de European Data Protection Board of EU ook niet even kan oplossen: Het probleem waardoor Privacy Shield door het Europese hof ongeldig is verklaard op 16 juli van dit jaar, is het recht dat Amerikaanse overheids/geheime diensten onder de CLOUD-act en Fisa702 wetgeving hebben om ongebreideld in persoonsgegevens van Europese burgers te mogen zoeken. Ze hoeven dit ook niet gericht te doen. Tevens zijn er onvoldoende mogelijkheden voor Europese burgers om onafhankelijk beroep aan te tekenen. De ombudsman-functie zoals gedefinieerd bij Privacy Shield is ondergebracht bij een betrokken ministerie. Hierdoor is Privacy Shield dus onbruikbaar geworden voor EU bedrijven om persoonsgegevens uit te wisselen met de USA volgens de Algemene verordening gegevensbescherming (AVG).

Daarnaast zegt de rechter in de Schrems-II uitspraak dat de Standard Contractual Clauses (SCC) rechtsgeldig blijven, mits de veiligheid van de persoonsgegevens gegarandeerd zijn op het niveau van de AvG. Veel Amerikaanse bedrijven beroepen zich op het eerste deel van de vorige zin en “vergeten” het tweede deel. De importerende partner (bedrijf uit de USA) heeft volgens de SCC de plicht te melden wanneer het niet aan de AvG voldoet. De exporterende partner (een bedrijf uit de EU) heeft de onderzoeksplicht om uit te zoeken of er wetgeving is in het importerende land dat conflicteert met de AvG. Een getekende SCC ontslaat de importeur niet van de meldplicht en de exporteur niet van zijn onderzoeksplicht.
Bij de uitspraak over Privacy Shield, zoals kort beschreven in de eerste paragraaf, heeft de rechter aangegeven dat de veiligheid van de persoonsgegevens niet gegarandeerd is in de USA of bij bedrijven uit de USA. Door de werking van geheime diensten, die nu eenmaal geheim hun werk doen, kan geen enkele leverancier verklaren dat de verwerking van de persoonsgegevens aan de veiligheidstandaard van de AvG voldoet. Hierdoor zijn SCC's ook geen garantie dat de persoonsgegevens veilig naar de USA kunnen worden gestuurd. De EU en de EDPB kunnen de bron van het probleem, de wetgeving in de USA, niet aanpassen.

De Autoriteit Persoonsgegevens heeft wel een beperkt standpunt ingenomen aangezien zij in het artikel (https://www.agconnect.nl/artikel/ap-nog-niet-aan-het-handhaven-na-gekla…) verklaard: De AP doet wel een oproep aan bedrijven om na te gaan of er persoonsgegevens worden doorgegeven aan de VS. “Want mogelijk schaadt je de privacy van je klanten en ben je in overtreding. Bij dergelijke privacyschendingen kan de gegevensuitwisseling stilgelegd worden. Dat risico moet je als ondernemer niet willen lopen. Sla data liever op in de EU dan in de VS.”
Dit wordt ook ondersteund door de autoriteit van de Duitse deelstaat Berlijn die oproept om persoonsgegevens te verplaatsen van de USA naar de EU. (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitte…)

Tja, en dan krijgen we de Brexit nog.

Tijd voor een Europese Cloud op het vaste land?

Johan van Soest CIPM
Functionaris gegevensbescherming
Op persoonlijke titel geschreven