De ene na de andere verandering op het gebied van internationale doorgifte van gegevens - hoe nu verder?

19 november 2020 | Blog

Nadat in juli van dit jaar het Hof van Justitie van de EU zijn tweede Schrems-uitspraak over het Privacy Shield-verdrag en standaardbepalingen had gewezen, ziet de wereld van de internationale doorgifte van gegevens er volstrekt anders uit. Echter, noch het Hof noch de relevante privacywaakhonden voorzagen in een oplossing voor de door het arrest veroorzaakte lacune, waardoor gegevensexporteurs - en ontvangende landen - met de nodige vragen bleven zitten. Dat ligt nu anders.

Het Europees Comité voor Gegevensbescherming [European Data Protection Board (“EDPB”)] heeft onlangs (concept-)aanbevelingen opgesteld die een oplossing kunnen bieden voor de belangrijkste problemen waarmee bedrijven zich sinds Schrems-II geconfronteerd zien. Zodra deze aanbevelingen zijn aangenomen, dienen alle organisaties wier activiteiten binnen het bereik van de AVG vallen, zich hieraan te houden.

Volgens het EDPB zijn er mogelijk aanvullende maatregelen nodig als de bestaande maatregelen onvoldoende bescherming bieden. Indien ook deze aanvullende maatregelen niet het vereiste beschermingsniveau bieden, moet de doorgifte worden opgeschort. Het is overigens twijfelachtig of deze richtsnoeren in de praktijk veel zullen uitmaken, aangezien het in sommige gevallen simpelweg onmogelijk is om contractueel af te wijken van toepasselijke wetgeving waar de ontvangende partij door gebonden is, wat erop zou neerkomen dat de doorgifte van persoonsgegevens aan die partij onmogelijk is.

In dit artikel vatten wij de voorgestelde aanbevelingen samen en bieden wij suggesties voor implementatie. Zodra de definitieve aanbevelingen bekend zijn, komen we met een update.

Schrems-II

In juli van dit jaar zette het Hof van Justitie van de EU niet alleen een streep door het Privacy Shield-verdrag, op grond waarvan bedrijven in de EER persoonsgegevens mochten doorgeven aan ontvangende partijen die bij dat verdrag waren aangesloten. Het HvJ nam meteen de huidige modelcontracten - of standaardbepalingen, een veelvuldig gebruikt instrument om de doorgifte van persoonsgegevens mogelijk te maken - mee in zijn overwegingen. Hoewel het HvJ deze standaardbepalingen geldig achtte, gaf het aan dat de gegevensexporteur voorafgaand aan de doorgifte dient te verifiëren of het derde land waarin de ontvangende partij zich bevindt, hetzelfde beschermingsniveau kan bieden als de AVG. Volgens het HvJ moesten bovendien, waar nodig, aanvullende maatregelen worden genomen.

Hoe nu verder?

De eenvoudigste oplossing zou zijn om alle persoonsgegevens binnen de EER te houden. In sommige gevallen is de doorgifte van persoonsgegevens naar landen buiten de EER echter onvermijdelijk. Daarom betwijfelen wij of de nieuwe richtsnoeren wel goed aansluiten bij de huidige praktijk, waarin persoonsgegevens voortdurend worden uitgewisseld. In die gevallen vindt de EDPB echter dat, zodra de aanbevelingen definitief zijn, alle organisaties die gegevens delen met in derde landen gevestigde partijen vóór, tijdens en na de doorgifte het volgende stappenplan zouden moeten volgen. Vanzelfsprekend vallen bestaande doorgiftes hier ook onder.




De bijlage bij de richtsnoeren vermeldt diverse voorbeelden van aanvullende maatregelen die kunnen worden genomen om het beschermingsniveau te waarborgen dat nodig is om rechtsgeldig persoonsgegevens naar een ontvanger in een derde land te kunnen doorgeven.

Het zij hier herhaald dat de door de EDPB opgestelde richtsnoeren nog slechts een conceptversie zijn. Naar verwachting zal de definitieve versie echter niet substantieel verschillen.

Ontvangers

Het is al gezegd: de aanbevelingen zijn ook van belang voor organisaties die regelmatig persoonsgegevens ontvangen uit in de EER gevestigde organisaties. Daarom bevelen wij aan om, met de criteria van stap 3 als richtlijn, te evalueren of uw organisatie zich al dan niet te houden heeft aan lokale wetgeving die afbreuk zou kunnen doen aan het door de AVG gewaarborgde beschermingsniveau. Indien dat het geval is, dient te worden bekeken of er maatregelen te nemen zijn die dat risico afdoende kunnen matigen.

Juiste oplossing(?)

Of deze aanbevelingen de juiste oplossing zijn, achten wij twijfelachtig. Zeker in het licht van het feit, zoals al uit Schrems-II volgt, bepaalde nationale wetgeving, zoals de FISA in de VS, of wetten in andere landen die het niet zo nauw nemen met de rechtsstaat, geen aan de AVG gelijkwaardige bescherming bieden. Dit houdt in dat voor die doorgiftes altijd aanvullende maatregelen nodig zijn. Het is echter maar de vraag of die maatregelen de gaten in lokale wetgeving afdoende kunnen dichten, en of het in de praktijk mogelijk is om maatregelen te nemen die een afdoende beschermingsniveau bieden. Al met al zetten wij nog de nodige vraagtekens bij de aanbevelingen.

Niettemin raden wij wel aan om alvast gegevensverwerkingen in kaart te brengen en de doeltreffendheid van maatregelen te evalueren. Wij kunnen desgewenst een format hiervoor aanleveren. Laat het ons weten als u dit format wil ontvangen.

Geactualiseerde modelcontractbepalingen (SCC's)

Naast de richtsnoeren heeft het EDPB ook een conceptversie van de geactualiseerde modelcontractbepalingen, ofwel SCC's, opgesteld. Zodra deze definitief zijn vastgesteld, vervangen zij de huidige bepalingen.

De auteurs van dit blog zijn Martin Hemmer en Sophie Hendriks.

Meld u aan voor onze nieuwsbrieven