De ongeldigverklaring van de bestaande kaders voor de doorgifte van gegevens tussen de VS en de EU heeft voor veel verwarring gezorgd bij Europese bedrijven. Door de intrekking van de overeenkomsten zijn er geen wettelijke middelen meer voor grensoverschrijdende doorgifte van persoonsgegevens van de EU naar de VS.
Het nieuwe adequaatheidsbesluit, vaak ‘Privacy Shield 2.0’ genoemd, lijkt een lichtpuntje nu de autoriteiten van de EU en de VS een aantal stappen hebben genomen om het bedrijven die gebruik maken van platforms die gegevens over de Atlantische Oceaan verzenden, gemakkelijker te maken. Volgens privacydeskundigen gaat het nieuwe kader echter tot veel controverse leiden en bestaat de mogelijkheid dat het, net als de twee eerdere besluiten, waarschijnlijk snel door het Hof van Justitie van de Europese Unie (HvJEU) zal worden aangevochten. Hoe gaat de toekomst van de trans-Atlantische gegevensoverdracht eruitzien?
We moeten eerst begrijpen wat de vorige adequaatheidsbesluiten inhielden en waardoor ze geen stand hielden. Vervolgens gaan we in op het ‘Privacy Shield 2.0’, dat de in 2020 door het HvJEU geuite zorgen zou moeten wegnemen.
Ten slotte bespreken we de mogelijke resultaten van de nieuw besluit en de gevolgen ervan voor het bedrijfsleven in de EU en de VS.
Table of contents
- De oorsprong van het Privacy Shield
- Schrems II-arrest: Waarom werd het Privacy Shield ongeldig verklaard?
- Het EU-VS kader voor gegevensbescherming, Privacy Shield 2.0 genoemd: Wat we tot nu toe weten
- Het Privacy Shield 2.0 voldoet mogelijk niet aan de eisen van de Europese toezichthouders
- Wat is de oplossing?
- Privacyvriendelijke manieren van gegevensverzameling
- Samenvatting
De oorsprong van het Privacy Shield
Het grote verschil tussen de wetgeving van de VS en die van de EU is het ontbreken van alomvattende privacywetgeving die van toepassing is op alle soorten gegevens en op alle bedrijven in de VS. Daarom is een regelgevend kader voor de doorgifte van persoonsgegevens vanuit de EU aan de Verenigde Staten noodzakelijk. Het Privacy Shield, dat tot doel had dergelijke doorgifte van gegevens te reguleren, werd opgezet ter vervanging van de internationale veiligehavenbeginselen. Deze veiligehavenbeginselen werden in oktober 2015 door het HvJEU ongeldig verklaard.
De zaak ‘veilige haven’ en het Schrems I-arrest
De veiligehavenbeginselen werden ongeldig verklaard met het Schrems I-arrest omdat de zaak was aangespannen door de Oostenrijkse advocaat Maximillian Schrems. Schrems diende in 2013 een klacht in over de doorgifte van persoonsgegevens door Facebook Ireland Ltd. aan het Amerikaanse moederbedrijf, waarmee ook de Amerikaanse staatsveiligheidsdiensten toegang hadden tot de gegevens. Schrems, die ook activist is, voerde aan dat het kader onvoldoende waarborgen bood om zijn fundamentele recht op privacy in de Verenigde Staten te beschermen.
Het HvJEU overwoog dat de veiligehavenbeginselen persoonsgegevens niet afdoende bescherming boden tegen “inmenging” door de Amerikaanse overheid “op grond van eisen inzake nationale veiligheid en algemeen belang”
Het arrest leidde tot de totstandkoming van het EU-US Privacy Shield (ook wel privacyschild genoemd).
Schrems II-arrest: Waarom werd het Privacy Shield ongeldig verklaard?
Het Privacy Shield trad op 12 juli 2016 in werking. Dit privacyschildbesluit moest een beter kader bieden voor de veilige doorgifte van persoonsgegevens van de Europese Unie naar de Verenigde Staten. Deze bijgewerkte versie van het besluit werd opgesteld om de rechten van Europese ingezetenen doeltreffend te beschermen en een passend beschermingsniveau bij de verwerking van hun gegevens te waarborgen, alsmede om naadloze gegevensuitwisseling mogelijk te maken en de handel tussen de EU en de VS te vergemakkelijken.
In 2020 herhaalde de geschiedenis zich echter en verklaarde het HvJEU het Privacy Shield ongeldig.
Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie het EU-US Data Protection Shield bij arrest ongeldig verklaard vanwege zorgen over toezicht door Amerikaanse staats- en wetshandhavingsinstanties. Dit arrest werd later in de volksmond het Schrems II-arrest genoemd omdat het de tweede uitspraak op een bezwaar van Max Schrem was.
Het Hof verklaarde dat doorgifte van persoonsgegevens van de EU naar de VS onrechtmatig is wanneer bedrijven niet kunnen garanderen dat ze veilig zijn voor de Amerikaanse inlichtingendiensten. Het arrest leek onvermijdelijk omdat er direct vanaf de totstandkoming van het Privacy Shield al geruchten waren dat de beschikking ongeldig zou worden verklaard.
Het probleem ligt in het feit dat de regelgeving inzake gegevensbescherming in de EU niet aansluit op die van de VS. Rechtbanken in de achtten de verschillen te groot om met een algemene overeenkomst zoals het privacyschild of de veiligehavenbeginselen op te lossen. Wij gaan hier later in dit artikel wat dieper op in omdat de uitdagingen voor een nieuw besluit groot blijven.
De impact van het Schrems II-arrest was enorm. Het heeft de manier waarop bedrijven en wetgevers omgaan met de doorgifte van gegevens en met de privacy van gebruikers onomkeerbaar veranderd.
Wat zijn de gevolgen van het Schrems II-arrest geweest voor het bedrijfsleven?
Duizenden bedrijven, waaronder giganten als Facebook en Google, vielen onder het Privacy Shield. Daarmee verdween ook de ‘groepsverzekering’ die het privacyschild bood.
Het Schrems II-arrest heeft daardoor ook voor aanzienlijke rechtsonzekerheid voor duizenden Europese ondernemingen gezorgd. De ongeldigverklaring van het besluit betekende dat er geen rechtsgrond meer was voor grensoverschrijdende doorgifte van persoonsgegevens van de EU naar de VS vanwege het feit dat het privacyschild niet in overeenstemming was met de AVG. Daardoor werd het voor bedrijven die afhankelijk zijn van de doorgifte van gegevens moeilijker om zaken te doen met Amerikaanse dienstverleners.
Hoewel het privacyschild niet langer een geldige rechtsgrond was voor de doorgifte van gegevens tussen de EU en de VS, is de doorgifte niet gestopt. Grote technologiebedrijven zoals Google sturen nog steeds bergen gegevens over EU-ingezetenen naar de VS.
Bij gebreke aan een adequaatheidsbesluit namen sommige bedrijven, waaronder Google, hun toevlucht tot modelcontractbepalingen (SCB) en bindende bedrijfsvoorschriften (BCR) om naar de VS verzonden gegevens te beschermen.
Sinds het privacyschildarrest heeft privacywaakhond NOYB 101 klachten ingediend tegen bedrijven die gegevens over bezoekers verzamelen met Google Analytics en Facebook Connect. Op de lijst met aangeklaagde bedrijven staan bedrijven uit verschillende sectoren, maar uitgeverijen en bedrijven uit de financiële sector komen prominent voor.
Er kwamen besluiten van gegevensbeschermingsautoriteiten (GBA) waarmee het gebruik van platforms als Google Analytics in sommige EU-landen effectief verboden werd:
- Op 12 januari 2022 heeft de Oostenrijkse DSB uitspraak gedaan in de zaak van een niet bij naam genoemde Duitse internetuitgever. Deze toezichthoudende autoriteit stelde dat het gebruik van Google Analytics om gegevens van EU-ingezetenen te verzamelen onrechtmatig is op grond van de AVG.
- In april 2022 nam de CNIL een besluit uit waarmee drie Franse websites werden gelast te stoppen met het gebruik van Google Analytics.
- In juni 2022 oordeelde de Italiaanse gegevensbeschermingsautoriteit (Garante) dat de doorgifte van persoonsgegevens naar de Verenigde Staten tijdens het gebruik van Google Analytics onrechtmatig is op grond van de AVG.
- In september 2022 was Datatilsynet, de Deense autoriteit voor gegevensbescherming de vierde nationale toezichthouder die concludeerde dat Google Analytics niet voldoet aan de vereisten van de AVG
Individuele bedrijven liepen daarmee een groter risico op juridische stappen van consumenten, consumentenrechtenorganisaties en gegevensbeschermingsautoriteiten.
Het EU-VS kader voor gegevensbescherming, Privacy Shield 2.0 genoemd: Wat we tot nu toe weten
Op 7 oktober 2022 heeft president Joe Biden een presidentieel decreet (‘Executive Order’ (EO)) ondertekend om een nieuw EU-US Data Privacy Framework, ook Privacy Shield 2.0 genoemd, ten uitvoer te leggen om de bescherming van de persoonsgegevens die tussen de VS en Europa worden gedeeld, te waarborgen. Het EO markeert het begin van stappen die in het kader van het nieuwe kader worden gezet. Als alles goed gaat, wordt het nieuwe besluit in maart 2023 gepubliceerd en komt er een einde aan de lange periode van onzekerheid in de trans-Atlantische digitale economie.
Het nieuwe kader komt tegemoet aan de in Schrems II geuite bezwaren. Met het Schrems II-arrest werd het privacyschild onder andere ongeldig verklaard omdat ingezetenen van de EU niet het recht hadden een verzoekschrift in te dienen bij de Amerikaanse overheid als zij vonden dat hun gegevens ten onrechte waren verzameld.
Het decreet van Biden pakt dat probleem aan door de manieren waarop signaalinformatie kan worden verzameld door Amerikaanse spionagediensten te beperken en door het verzamelen van informatie te onderwerpen aan verschillende lagen met voorwaarden, waarmee onder andere wordt gewaarborgd dat alleen specifiek van toepassing zijnde gegevens worden verzameld. Het Witte Huis verklaarde in een informatieblad dat de VS zich ertoe hadden verbonden “nieuwe waarborgen in te voeren om ervoor te zorgen dat activiteiten op het gebied van signaalinformatie noodzakelijk en evenredig zijn bij het nastreven van vastgestelde nationale veiligheidsdoelstellingen”
Dankzij het nieuwe kader kunnen personen binnen de EU verhaal halen bij een onafhankelijke rechterlijke instantie voor gegevensbescherming (Data Protection Review Court), bestaande uit leden die geen deel uitmaken van de Amerikaanse overheid. Dat orgaan zou volledige bevoegdheid moeten hebben om vorderingen te beoordelen en zo nodig corrigerende maatregelen te nemen.
Op 13 december 2022 heeft de Europese Commissie het formele startsein gegeven voor de vaststelling van een adequaatheidsbesluit voor het EU-US Data Privacy Framework.
De bekendmaking van het conceptvoorstel is slechts de eerste formele stap om een buitenlands rechtsgebied aan te merken als een rechtsgebied dat passende gegevensbescherming biedt. De volgende stap is dat het Europees Comité voor gegevensbescherming (EDPB), waarin alle gegevensbeschermingsautoriteiten van de EU zitting hebben, een advies uitbrengt.
Vervolgens moet het besluit worden goedgekeurd door een comité van nationale vertegenwoordigers van de lidstaten alvorens het formeel kan worden aangenomen. Het definitieve besluit wordt in het voorjaar van 2023 verwacht. Zodra het besluit is gepubliceerd, kunnen Europese bedrijven die gegevens doorgeven aan de VS er een beroep op doen.
In de tussentijd kunnen het Europees Parlement en de Raad het besluit aanvechten wanneer zij menen dat de Commissie haar bevoegdheden heeft overschreden.
Het Privacy Shield 2.0 voldoet mogelijk niet aan de eisen van de Europese toezichthouders
Hoewel met het EO een reeks aanvullende waarborgen en eisen wordt ingevoerd om de toegang tot gegevens van ingezetenen van de EU door Amerikaanse toezichthouders te beperken, en tegelijk een systeem voor beroep wordt ingesteld om klachten te behandelen, geven pleitbezorgers van gegevensprivacy aan dat het decreet van Biden gedoemd lijkt te mislukken.
NOYB, de privacyrechtenorganisatie van Schrems, stelde in haar reactie op het EO van Biden dat het Data Protection Review Court geen echte rechtbank is zoals gedefinieerd in de Amerikaanse wetgeving. Zij bekritiseerden ook de mate waarin ingezetenen van de EU beroepsmogelijkheden hebben en gaven aan dat er ten opzichte van eerdere kaders geen extra waarborgen werden geboden dat zij zouden worden gehoord. “Op het eerste gezicht lijkt het erop dat de kernpunten niet zijn opgelost en dat het vroeg of laat weer aan het HvJEU moet worden voorgelegd”, vat Schrems het samen.
Controverses rond het nieuwe EU-US Privacy Shield
Het EO bevat nieuwe regels voor de manier waarop de VS en Europa persoonsgegevens van betrokkenen delen, maar voldoet nog steeds niet aan de eisen van de EU. NOYB wijst erop dat deze oplossing wellicht niet voldoet vanwege enkele problemen:
- Het EO is geen wet en er kan gemakkelijk van worden afgeweken met een ander EO. Deze zwakke juridische constructie zal het HvJEU waarschijnlijk niet kunnen overtuigen.
- Vanuit het perspectief van de VS hebben Europeanen geen gegevensbeschermingsrechten. Op grond van het vierde amendement gelden ze alleen voor Amerikaanse burgers. Personen die geen burgers van de VS zijn, kunnen eenvoudig doelwit worden van toezicht.
- Amerikaanse organisaties die in de EU actief zijn, zijn niet gebonden aan de AVG. Volgens het EO hebben zij geen rechtsgrond nodig voor het verzamelen van gegevens en hoeven ze alleen maar een opt-outsysteem te bieden voor personen die geen gegevens willen delen. Dit benadeelt EU-bedrijven die aan de AVG moeten voldoen ernstig.
Stefan Brink, voorzitter van de toezichthoudende autoriteit gegevensbescherming en vrijheid van informatie van de deelstaat Baden-Württemberg, gaf eind oktober 2022 commentaar op het decreet van de Amerikaanse president. Hij juichte het EO toe, maar uitte de volgende bezwaren:
- Het EO is een interne richtlijn voor overheids- en ondergeschikte organisaties en niet een wet die door het parlement is aangenomen.
- Het is onduidelijk hoe het decreet zich verhoudt tot andere Amerikaanse regelgeving, zoals de Cloud Act.
- De rechtsstelsels in de EU en de VS interpreteren het juridische beginsel van evenredigheid anders.
- De klachtenprocedure voor schending van het EO is complex en omslachtig. Het orgaan dat de beslissing moet nemen is geen onafhankelijke rechtbank.
Het is nu aan de Europese Commissie om vast te stellen of de VS een inhoudelijk gelijkwaardig niveau van bescherming van persoonsgegevens bieden. Het is al twijfelachtig of de Commissie überhaupt in een positie is om het niveau van gegevensbescherming in de VS opnieuw te beoordelen en uitsluitend op basis van het EO een adequaatheidsbesluit te nemen. Het grote aantal openstaande vragen dat nog moet worden opgehelderd, doet hieraan twijfelen.
Stefan Brink, voorzitter van de toezichthoudende autoriteit gegevensbescherming en vrijheid van informatie van de deelstaat Baden-Württemberg
Waarom is de nieuwe oplossing vanaf het begin al gebrekkig?
Laten we dieper ingaan op de controverses en de achtergrond en implicaties ervan nader bespreken.
Met het nieuwe besluit worden de onderliggende problemen met de doorgifte van gegevens tussen de EU en de VS wellicht nog steeds niet opgelost aangezien beide partijen een totaal verschillende benadering hebben van de privacy van personen en uiteenlopende rechtsstelsels hebben die heel lastig in overeenstemming te brengen zullen zijn in een eventuele overeenkomst.
De wetgeving van de Verenigde Staten staat de autoriteiten toe gegevens te controleren en vrij te geven die door bedrijven noodzakelijk worden geacht. Daarmee zijn de gegevens van Europese ingezetenen op Amerikaanse servers onvoldoende beschermd tegen toegang door die autoriteiten. De EU ziet privacy als een mensenrecht dat voor iedereen geldt, terwijl het vierde amendement alleen geldt voor burgers of permanente ingezetenen van de Verenigde Staten. Volgens de VS hebben Europeanen geen privacyrechten. FISA 702 maakt gebruik van dat verschil in Amerikaanse wetgeving en staat toezicht dat illegaal is op grond van het vierde amendement toe zolang Amerikanen niet het doelwit zijn.
Dit is een oud probleem aangezien het eerste privacyschild ook prioriteit gaf aan het recht van de Verenigde Staten en zelfs zes uitzonderingen bevatte waarin massale controle was toegestaan. Deze controle van gegevens bleef niet beperkt tot absoluut noodzakelijke gevallen en de mogelijkheden van de Europese consumenten om zich juridisch te verdedigen waren beperkt.
Wat opvalt is dat de Europese Commissie nog steeds niet heeft verzocht om de zogenoemde privacyschildbeginselen af te stemmen op de AVG, die sinds 2018 van kracht is. De beginselen zijn grotendeels dezelfde als de eerdere veiligehavenbeginselen die in 2000 zijn opgesteld en ook in het nieuwe kader worden gebruikt. Dit betekent dat Amerikaanse bedrijven Europese gegevens kunnen blijven verwerken zonder aan de AVG te hoeven voldoen. Zij hebben bijvoorbeeld geen rechtsgrond nodig voor de verwerking, bijvoorbeeld toestemming. Op grond van het Privacy Shield hoeven Amerikaanse bedrijven alleen een opt-outmogelijkheid te bieden aan gebruikers. Dit ondanks het feit dat het HvJEU heeft benadrukt dat er in de VS sprake moet zijn van grotendeels gelijkwaardige bescherming.
Na de twee Schrems-arresten roept een onderzoek van de Amerikaanse advocaat Stephen Vladeck, dat begin 2022 werd gepubliceerd, twijfel op over de vraag of Amerikaanse bedrijven en hun dochterondernemingen in de EU gegevens verwerken in overeenstemming met de AVG. Daarin wordt de huidige stand van controlewetgeving in de VS beschreven en of Amerikaanse bedrijven de Europese normen inzake gegevensbescherming kunnen naleven. Vladeck geeft aan dat de verwerking van gegevens op EU-servers niet voldoende is om toegang door autoriteiten of inlichtingendiensten van buiten de EU te voorkomen.
Wat is de oplossing?
Vanaf vandaag brengt de doorgifte van gegevens tussen de EU en de VS risico’s op het gebied van compliance met zich mee, vooral wanneer u gebruik maakt van big-tech-producten waarbij op grote schaal gegevens worden gebruikt, zoals Facebook of Google Analytics.
Volgens de Deense autoriteit gegevensbescherming bijvoorbeeld blijft de doorgifte van gegevens in strijd met de AVG zolang de deal niet openbaar is gemaakt. Zoals gezegd, betekent het EO van de VS niet dat Deense bedrijven en autoriteiten al kunnen beginnen met de doorgifte van persoonsgegevens aan de VS zonder rechtsgrond voor doorgifte en naleving van de vereisten die voortvloeien uit het Schrems II-arrest.
Waarschijnlijk wordt het besluit in maart 2023 genomen. Maar we moeten er rekening mee houden dat NGO’s die zich inzetten voor gegevensbescherming klachten gaan indienen over de het nieuwe besluit en naar de rechter stappen.
NOYB en partnerorganisaties hebben al aangegeven de documenten nader te gaan bestuderen en de komende weken met een gedetailleerde juridische analyse zullen komen. Als het besluit van de Europese Commissie niet in overeenstemming is met het EU-recht en de relevante arresten van het HvJEU, zal NOYB het besluit waarschijnlijk opnieuw aanvechten bij het HvJEU. Voorlopig zal het Amerikaanse Congres in 2023 FISA 702 opnieuw moeten goedkeuren zodat de Amerikaanse wetgever zinvolle beperkingen kan invoeren waarmee de privacyrechten van niet-Amerikanen worden gerespecteerd.
Privacyvriendelijke manieren van gegevensverzameling
Sinds het Schrems II-arrest, dat de doorgifte van gegevens tussen de EU en de VS effectief verbood, hebben veel EU-organisaties hun technologieën en methoden aan het nieuwe juridische landschap aangepast. De twee meest voorkomende methoden waren:
- Beperking/uitsluiting van doorgifte en anonimisering van gegevens. De Amerikaanse bedrijfstechnologie is sterk afhankelijk van gebruikersidentificatie en gegevensoverdracht. Door de doorgifte te beperken of de gegevens te ontdoen van persoonlijke informatie kan dit probleem worden opgelost, maar daar hangt een prijskaartje aan. Wanneer Google Analytics bijvoorbeeld wordt geconfigureerd om te voldoen aan de normen van AVG (volgens richtlijnen van de Franse gegevensbeschermingsautoriteit), verliest het de meeste mogelijkheden.
- De technologiestapel bijwerken met alternatieven uit de EU. Schrems II creëerde een opening in de markt voor bedrijven in de EU die bedrijfs- en marketingsoftware met lokale EU-hosting aanbieden. Met deze alternatieven kunnen organisaties volledig onafhankelijk worden van transatlantische doorgifte van gegevens.
Wat kunt u nog meer doen om het risico zo klein mogelijk te houden?
U moet uw gegevens volledig controleren. U moet begrijpen wat voor soort gegevens u verzamelt, opslaat en overdraagt. U moet ook weten hoe en wanneer gegevens zich van de ene plek naar de andere verplaatsen.
U zou ook gebruik kunnen maken van cloudsoftwarediensten, die een goede oplossing kunnen zijn. U moet er alleen voor zorgen dat de gegevens lokaal in de EU worden opgeslagen en dat het datacenter wordt gehost door een leverancier binnen de EU. Werk met transparante partners die maximale flexibiliteit bieden voor de manier waarop u met gegevens uit hun diensten omgaat.
Het is een goed idee om samen te werken met partijen die waarden als privacy by design en dataminimalisatie ondersteunen. Door deze waarden te volgen, krijgt u te maken met minder persoonsgegevens en minimaliseert u het risico. Houd er rekening mee dat het bij privacyschild en AVG vooral gaat om persoonsgegevens.
Vergeet niet dat het ook belangrijk is wie de gegevens verwerkt en waar dat gebeurt. U minimaliseert het risico als persoonlijke en met name gevoelige gegevens worden verwerkt door partners die in de EU zijn gevestigd in plaats van in de VS.
Samenvatting
Het internet was vroeger een ongereguleerde ruimte, waardoor juridische chaos ontstond. Dat wordt met de dag minder waar. Regelgeving over alles van verkoopbelasting in de elektronische handel tot waar persoonsgegevens moeten worden opgeslagen, wordt eindelijk gemeengoed. Verschillende landen hebben verschillende juridische methoden bedacht om het internet te reguleren.
Die verschillen leiden tot problemen zoals het probleem dat momenteel tussen de EU en de VS wordt uitgevochten.
Privacy Shield 2.0 is bedoeld om beperkingen in de doorgifte van gegevens tussen de EU en de VS te verhelpen, maar een politieke aankondiging zonder vaste tekst lijkt voorlopig tot nog meer rechtsonzekerheid te leiden. Daarom is het vasthouden aan privacyvriendelijke manieren van gegevensverzameling de veiligste oplossing.
De problemen rond het Privacy Shield 2.0 evolueren dynamisch. Wij houden u op de hoogte van eventuele wijzigingen in het kader.
Als u uitdagingen met betrekking tot de opslag van gegevens, het verzamelen van persoonsgegevens en de naleving van de AVG wilt bespreken, neem dan zeker contact op.