Internationale gegevensuitwisseling: de stand van zaken

Gepubliceerd op 19 januari 2021 om 14:20

Sinds het zogenaamde 'Schrems II' arrest van het Europese Hof van Justitie gelden er extra eisen bij het doorgeven van persoonsgegevens naar landen buiten de Europese Economische Ruimte.

In dit blogbericht wordt de stand van zaken op een rij gezet.


De informatie is ook beschikbaar als factsheet:

Internationale gegevensuitwisseling: de stand van zaken (1)


Gebruikt u of uw organisatie Amerikaanse of andere niet-Europese (2) (IT-) leveranciers, of online applicaties van niet-Europese leveranciers?

Doet u regelmatig zaken met Amerikaanse of andere niet-Europese partijen?
Heeft uw organisatie groepsmaatschappijen buiten Europa?

Worden met (die) personen of partijen buiten Europa persoonsgegevens uitgewisseld?

Dan is het belangrijk om de uitwisseling kritisch onder de loep te nemen. Het zou namelijk kunnen zijn dat de uitwisseling in strijd is met de Algemene Verordening Gegevensbescherming (AVG).

Sinds juli 2016 gelden er namelijk extra eisen met betrekking tot dit soort uitwisselingen. Dit komt door een arrest van het Hof van Justitie EU dat het 'Schrems II' arrest is gaan heten.

Wat is er aan de hand?

Op 16 juli 2020 verklaarde het Hof van Justitie het zogenaamde 'Privacy Shield' ongeldig in het Schrems II arrest. Privacy Shield was een zelfcertificeringsprogramma dat doorgiften van persoonsgegevens naar de Verenigde Staten geldig maakte.

Nu Privacy Shield ongeldig is verklaard, is het als uitgangspunt niet toegestaan om persoonsgegevens vanuit de EER (dit zijn momenteel de landen van de EU, Liechtenstein, Noorwegen en IJsland) door te geven naar de VS.

Dat uitgangspunt geldt ook voor het doorgeven van persoonsgegevens naar andere landen buiten de EER.

Dit komt door een verbod in de AVG om persoonsgegevens vanuit de EER door te geven naar een land buiten de EER waar geen 'passend beschermingsniveau' is voor de persoonsgegevens. Dat beschermingsniveau is er in ieder geval niet in de VS en in de meeste andere niet-Europese landen ook niet.

Sommige landen altijd veilig

Maar, van sommige landen heeft Europa bepaald dat zij wél een passend beschermingsniveau bieden. Naar die landen (zie link) mogen persoonsgegevens hoe dan ook worden doorgegeven. Heeft u dus leveranciers, contractpartijen of groepsmaatschappijen in die landen? Dan kunnen persoonsgegevens gewoon geldig naar die landen worden doorgegeven.

Andere landen: doorgifte mechanismen

Wanneer het gaat om andere landen, zoals de VS, moet de Europese 'exporteur' van de persoonsgegevens sinds het Schrems II arrest eerst toetsen of er in het betreffende 'importland' een voldoende beschermingsniveau is voor de persoonsgegevens. Als dat er niet is, moet worden gekeken of de persoonsgegevens kunnen worden doorgegeven met behulp van een ‘doorgiftemechanisme’.

Doorgiftemechanismen zijn manieren om op grond van de AVG tóch persoonsgegevens door te geven naar buiten de EER.

Daarvoor zijn verschillende opties beschikbaar op grond van de AVG (3):

Optie 1. Model contract (in het Engels: Standard Contractual Clauses of SSC) afsluiten: een model contract is een standaard contract dat door de Europese Commissie is opgesteld en op basis waarvan persoonsgegevens geldig kunnen worden doorgegeven. De data exporteur en de data importeur doen daarin toezeggingen om te zorgen voor een passend beschermingsniveau voor de persoonsgegevens (4).

Optie 2. Bindende Bedrijfsvoorschriften (in het Engels: Binding Corporate Rules of BCR) implementeren: deze optie is alleen mogelijk voor internationale concerns. Het is een soort privacy-framework waar alle groepsmaatschappijen zich aan moeten houden om te zorgen voor een passend beschermingsniveau. Het implementeren van BCR’s heeft wat voeten in de aarde en niet alle concerns gebruiken ze, maar het wordt door het Schrems II arrest wel een aantrekkelijker alternatief om doorgifte van persoonsgegevens te regelen.      

Optie 3. Ad hoc contracten met toestemming van de AP: het is ook mogelijk om zelf een contract op te stellen voor doorgifte van persoonsgegevens. Hiervoor is dan wel de toestemming nodig van de privacy-toezichthouder, in Nederland de Autoriteit Persoonsgegevens.

Optie 4. Certificeringsmechanismen of gedragscodes: de AVG maakt het mogelijk om persoonsgegevens door te geven naar partijen buiten de EER die gecertificeerd zijn of zich houden aan een gedragscode, waardoor een passend beschermingsniveau moet worden gebonden. Niet-Europese leveranciers zouden zich kunnen laten certificeren of zich aan een dergelijke gedragscode kunnen houden. Deze certificeringen en gedragscodes hebben (nog) geen grote vlucht genomen, maar het zou voor niet-Europese leveranciers die zich verenigen een optie kunnen zijn om dit op te zetten.

Extra maatregelen nemen

Bij alle doorgiftenmechanismen is het verstandig – en in sommige gevallen noodzakelijk, afhankelijk van de situatie in het importland – om extra maatregelen te nemen om de persoonsgegevens te beschermen. Dit geldt met name als de lokale wetgeving van het importland overheidsinstanties de bevoegdheid geeft de Europese persoonsgegevens in te zien op een manier die niet minimaal gelijkwaardig is aan het Europees recht.

Er zijn meerdere maatregelen die kunnen – en soms moeten – worden toegepast:

  1. Technische maatregelen, zoals encryptie en pseudonimisering van de persoonsgegevens.
  2. Contractuele maatregelen, door specifieke afspraken te maken met de importeur, bijvoorbeeld dat deze een melding doet als een overheidsinstantie inzage heeft gevraagd of de wetgeving van het land wijzigt.
  3. Organisatorische maatregelen, bijvoorbeeld doordat de importeur interne regels (policies) heeft met betrekking tot de persoonsgegevens.

Het zal uiteindelijk afhangen van de bescherming die het betreffende land waar naar wordt doorgegeven biedt voor de persoonsgegevens, voor de vraag welke maatregelen moeten worden getroffen. Dit is dus maatwerk.

Hoe zit het met het Verenigd Koninkrijk?

Het Verenigd Koninkrijk heeft sinds de Brexit op 31 december 2020 een bijzondere positie.

Op dit moment geldt daarvoor een overgangsperiode: zolang er in het VK niets verandert waardoor het beschermingsniveau wordt verlaagd, bijvoorbeeld door een wetswijziging, mogen Europese partijen persoonsgegevens blijven doorgeven naar het VK. Dit geldt voor een maximale periode van zes maanden.

Als de Europese Commissie voor juli 2021 besluit dat het VK aan adequaat beschermingsniveau heeft, dan mogen persoonsgegevens blijvend worden doorgegeven. Dan geldt voor het VK hetzelfde als is aangegeven bij 'Sommige landen altijd veilig'. Gebeurt dat niet, dan kan doorgifte alleen met een doorgifte- mechanisme en extra maatregelen.

Specifieke uitzonderingen

Tot slot: er gelden een aantal specifieke uitzonderingen op het verbod.

Als de gegevens slechts incidenteel worden doorgegeven, bijvoorbeeld om voor de klant een hotel te boeken buiten de EER dan geldt het verbod bijvoorbeeld niet. Of als het noodzakelijk is voor het voeren van een juridische procedure in het importland. Zodra de persoonsgegevens structureel worden doorgegeven gelden de uitzonderingen niet.

Wat betekent dit voor de praktijk?

Voor de praktijk betekent dit dat zal moeten worden nagegaan naar welke landen persoonsgegevens worden doorgegeven, of dat landen zijn met een passend beschermingsniveau en zo nee, welke maatregelen moeten worden genomen om de doorgifte geldig te laten zijn onder de AVG. De niet-Europese IT-leveranciers hebben hier ook een rol in: zij zouden de Europese data-exporteurs hierbij moeten ondersteunen.

_________________________________________________________________

(1) De stand van zaken wordt weergegeven per de maand van uitgave van dit blogbericht: januari 2021.

(2) Met ‘Europa’ wordt bedoeld de landen van de Europese Unie, Liechtenstein, Noorwegen en IJsland, gezamenlijk de Europese Economische Ruimte, of ‘EER’, in januari 2021.

(3) De AVG geeft ook de mogelijkheid van door de toezichthouder opgesteld standaard contracten, maar dat heeft de Nederlandse toezichthouder (nog) niet gedaan, en toestemming van de betrokken persoon maar dat is niet een praktische optie omdat toestemming altijd weer moet kunnen worden ingetrokken.

(4) Op dit moment kunnen de modelcontracten niet worden gebruikt door ‘verwerkers’ (zoals IT-bedrijven) die de persoonsgegevens delen met sub-verwerkers (onderaannemers). Het ziet er naar uit dat dat in 2021 gaat veranderen omdat de Europese Commissie met nieuwe modellen is gekomen die dat wel mogelijk maken.