De gevolgen van Schrems II

De gevolgen van Schrems II


Naar aanleiding van de Schrems II uitspraak krijg ik nu regelmatig vragen over de mogelijke gevolgen hiervan. En ja, de mogelijke gevolgen zijn groot voor zowat iedere gegevensoverdracht naar de Verenigde Staten: het Privacy Shield is ongeldig verklaard en standard contractual clauses bieden niet het benodigde beschermingsniveau. Is het een oplossing om met een Europees dochterbedrijf te contracteren?

Schrems II en de gevolgen

Een tijdje geleden schreef ik al over het Schrems II arrest. In deze uitspraak heeft het Europees Hof van Justitie het Privacy Shield ongeldig verklaard. Hierdoor is het Privacy Shield geen rechtsgeldige grondslag meer voor het doorgeven van persoonsgegevens naar de Verenigde Staten. De toepassing van de huidige modelcontracten van de Europese Commissie, de “standard contractual clauses” (SCC), zijn overeind zijn gebleven. Het Hof heeft hierbij echter aangegeven dat de standard contractual clauses niet per definitie een passend beschermingsniveau waarborgen en het beschermingsniveau van een land per geval beoordeeld moeten worden. Uit het Schrems ll arrest is duidelijk geworden dat de Verenigde Staten een onvoldoende beschermingsniveau biedt.

Privacy Shield in het kort

Dit Privacy Shield voorzag erin dat Amerikaanse bedrijven geacht werden over een adequaat niveau van veiligheid voor persoonsgegevens te beschikken. Hierbij diende deze bedrijven aan een aantal voorwaarden te voldoen en daartoe gecertifieerd te zijn. Doordat het Privacy Shield nu ongeldig is verklaard kunnen veel Amerikaanse bedrijven hiermee niet meer voldoen aan de voorwaarden om persoonsgegevens van Europese burgers te verwerken. Het gaat hier om leveranciers van bijvoorbeeld hostingdiensten, cloud(opslag)diensten, etc etc.

Onvoldoende beveiligingsniveau

Zoals gezegd, de toepassing van de huidige modelcontracten van de Europese Commissie, de “standard contractual clauses” (SCC), zijn binnen Schrems II overeind gebleven. Een doorgifte op basis van SCC’s kan echter alleen als er een passend beschermingsniveau kan worden geboden door partijen. Volgens het Hof maken de verregaande bevoegdheden voor Amerikaanse inlichtingen- en veiligheidsdiensten dat het land een onvoldoende beschermingsniveau biedt.

Contracteren met een in Europa gevestigd dochterbedrijf?

Een veel gestelde vraag is of dit probleem kan worden opgelost door te contracteren met een dochterbedrijf van een Amerikaanse aanbieder dat is gevestigd in de EU. Om die vraag te kunnen beantwoorden, kijken we eerst nog even naar de uitspraak van het Europees Hof.

Over de geldigheid van dat Privacy Shield, zegt het Europees Hof dat deze regeling niet kan zorgen voor een beschermingsniveau dat gelijkwaardig is aan het beschermingsniveau dat bestaat binnen de EU. Net als bij de “eerste versie” van het privacy Shield, Safe Harbor, is de reden daarvoor de vergaande inmenging van Amerikaanse inlichtingendiensten, die systematisch en op grote schaal data monitoren van bijvoorbeeld e-mails en cloud-opslagdiensten op basis van bijvoorbeeld de Foreign Intelligence Surveillance Act, de Executive Order 12333 of de Presidential Policy Directive.

Ok, maar dit is Amerikaans recht en dit geldt alleen voor data binnen de VS? Nee, niet helemaal. Sinds 23 maart 2018 is de Clarifying Lawful Use of Overseas Data Act (CLOUD Act) van toepassing in de VS. Amerikaanse aanbieders van elektronische communicatiediensten worden hierdoor verplicht om gegevens die middels hun diensten worden “verwerkt” te bewaren en te verstrekken op verzoek van de Amerikaanse overheid. Dit kan zonder rechterlijke toetsing, ongeacht waar ter wereld de servers staan.

Ook als een dochterbedrijf als “rechtspersoon uit de VS” data binnen Europa verwerkt, kan er hierdoor sprake zijn van een onvoldoende beschermingsniveau. Dit is anders wanneer het dochterbedrijf een rechtspersoon is naar Europees recht. Dan is immers de AVG op deze rechtspersoon van toepassing. 

Hoe nu verder?

Het Schrems II arrest maakt duidelijk dat organisaties geen persoonsgegevens meer kunnen doorgeven op basis van het Privacy Shield. Je zult wellicht je privacyverklaring hierop moet aanpassen. Nadere invulling van mogelijke oplossingen zijn in ontwikkeling. Het is daarom aan te bevelen om de website van de Autoriteit Persoonsgegevens en de EDPB goed in de gaten te houden.

Naar aanleiding van de zaak Schrems II heeft het EDPB een taskforce opgericht. Deze taskforce zal aanbevelingen opstellen om “verwerkingsverantwoordelijken en verwerkers te ondersteunen bij hun verplichting om aanvullende maatregelen vast te stellen en in te voeren om passende bescherming te garanderen bij de doorgifte van gegevens naar derde landen”.

Een reden om af te wachten en achterover te gaan zitten is dit niet. Ga tenminste na welke alternatieven er zijn voor je organisatie. Het is niet de verwachting dat de AP per direct boetes gaat rondsturen terwijl dit wel tot de mogelijkheden behoort. De Schrems II uitspraak kent immers geen overgangsperiode. Heb je hierbij hulp nodig of wil je meer informatie? Vragen staat vrij!