Zoeken
Sluit dit zoekvak.
Foto van mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Aanbevelingen EDBP voor doorgifte persoonsgegevens naar landen buiten de EU

Maakt jouw bedrijf gebruik van buitenlandse dienstverleners, zoals cookie leveranciers, grote techbedrijven (Facebook, Google, MailChimp), cloud-dienstverleners of hostingbedrijven? Dan is de kans groot dat de door jou verwerkte data buiten de EU belandt. Doorgifte van persoonsgegevens naar landen buiten de EU (‘derde landen’) mag alleen als het beveiligingsniveau in het derde land adequaat is. In de Schrems-II uitspraak is het privacy shield met de VS ongeldig verklaard. Doorgifte van persoonsgegevens naar de VS mag dus eigenlijk niet meer. Dat is natuurlijk best een pittige conclusie met zwaarwegende gevolgen, want het lijkt vrijwel onmogelijk om van alle Europese bedrijven te eisen dat zij per direct stoppen met het doorgeven van gegevens aan de VS. Een echte oplossing is dan ook er nog niet. De EDBP (European Data Protection Board) heeft ons wel een aantal guidelines gegeven, die we in deze blog zullen behandelen.

Schrems II: David en Goliath


Heb je nog nooit van Maximillian Schrems (“Max Schrems”) gehoord? Dan wordt het bij deze toch echt tijd. Deze privacy-activist (en advocaat) heeft in z’n uppie (oke, hij werd wel bijgestaan door een juridisch team, maar een David en Goliath vergelijking is toch echt op zijn plaats) de privacy-wereld behoorlijk op zijn kop gezet. Door zijn volhardende aanpak, heeft het Hof van Justitie op 16 juli 2020 een baanbrekende uitspraak gedaan die behoorlijk wat paniek heeft veroorzaakt. De uitspraak is relevant voor alle organisaties en bedrijven die persoonsgegevens doorgeven buiten de EU. Zelf is Max trouwens van mening dat hij slechts heeft ‘rechtgezet wat al recht was’. En daar heeft hij, naar onze mening, eigenlijk wel een punt. Desondanks leidt de uitspraak in de praktijk tot een vrijwel onwerkbare situatie en veel discussie onder (privacy-)juristen. Want eerlijk is eerlijk, we maken vrijwel allemaal gebruik van Amerikaanse dienstverleners.

Schrems-II: waar ging het over?


De Oostenrijker Max Schrems was van mening dat de doorgifte van persoonsgegevens van Facebook Ierland (de Ierse vestiging van het Amerikaanse bedrijf Facebook) naar Facebook Inc. (vestiging in VS) niet is toegestaan. Waarom? Omdat – kort gezegd – door Amerikaanse surveillance wetgeving de privacy van EU-burgers in de VS niet voldoende gewaarborgd kan worden en de doorgifte daarom in strijd is met de Algemene Verordening Gegevensbescherming. Schrems diende daarom een klacht in die uiteindelijk bij de Ierse High Court terecht is gekomen. De Ierse High Court stelde vervolgens aan het Europese Hof van Justitie een aantal prejudiciële vragen.

Het Hof? Die is het met Max eens. Ze benadrukt dat er in het derde land (de VS bijvoorbeeld) sprake moet zijn van een beschermingsniveau dat gelijkwaardig is aan het niveau dat door de AVG wordt gewaarborgd. De VS is volgens het Hof niet in staat om dat gelijkwaardige beschermingsniveau voor persoonsgegevens te bieden. Verregaande bevoegdheden van de Amerikaanse inlichtingen- en veiligheidsdiensten (op basis van surveillance wetgeving als FISA 702 bijvoorbeeld) om gegevens van EU-burgers op grote schaal te mogen verwerken, passen niet bij een dergelijk gelijkwaardig beschermingsniveau.


Kort gezegd,

  • verklaart zij het Privacy Shield tussen EU-VS ongeldig;
  • verklaart zij dat de SCC’s wél geldig zijn als een mechanisme (‘instrument’) voor de doorgifte van persoonsgegevens naar derde landen. Hierbij moeten wij toch direct even een kanttekening plaatsen. Het feit dat de SCC’s als mechanisme nog wel geldig zijn, betekent namelijk niet dat SCC’s de juiste oplossing zijn voor de doorgifte van persoonsgegevens aan Amerikaanse bedrijven.

Doorgifte van persoonsgegevens aan de VS


Of je nou wel of niet iets te verbergen hebt: privacy is een fundamenteel recht. Door de toegenomen digitalisering van de samenleving staat het privacyrecht momenteel volop in de schijnwerpers. In Europa heeft deze toegenomen belangstelling o.a. geleid tot de implementatie van de AVG (Algemene Verordening Gegevensbescherming). Het privacy-beschermingsniveau is daarmee vrijwel voor alle lidstaten gelijk getrokken. De bescherming van persoonsgegevens buiten Europa is echter niet altijd hetzelfde geregeld. Daarom hebben we in Europa afgesproken dat persoonsgegevens alleen naar landen buiten de EU (derde landen zoals China of de VS) mogen worden doorgegeven indien het desbetreffende land ‘voldoende bescherming’ biedt. De AVG biedt verschillende mechanismen waarmee een veilige doorgifte naar een derde land kan plaatsvinden:

  1. Binding Corporate Rules (BRC), voor de uitwisseling van persoonsgegevens binnen een multinational of internationale organisatie;
  2. Op basis van een adequaatheidsbesluit. van deze landen heeft de Europese Commissie vastgesteld dat de privacy voldoende is gewaarborgd. Met de VS had de EU ook een adequaatheidsbesluit gesloten (het privacy shield);
  3. SCC’s: standard contractual clauses;
  4. Ad hoc contractual clauses;
  5. Artikel 49 AVG.

In de Schrems zaak heeft het Hof het privacy shield (mechanisme 2) met de VS ongeldig verklaard. De SCC’s acht zij wel geldig als tool, maar het Hof maakt heel duidelijk dat gebruik van SSC’s alleen mag als exporter en importer kunnen verzekeren dat de persoonsgegevens veilig zijn in het derde land. Dit betekent dus o.a. dat partijen onderzoek moeten doen naar de invloed van lokale (surveillance-)wetgeving op het beschermingsniveau. Gezien het feit dat in het Schrems-II arrest duidelijk is geworden dat de Verenigde Staten niet het vereiste beschermingsniveau kunnen bieden vanwege de verregaande bevoegdheden van de Amerikaanse inlichtingen- en veiligheidsdiensten, lijkt dit ijdele hoop.

Aanbevelingen van de EDBP: eindelijk goed nieuws?


Door de uitspraak van het Hof in de Schrems-II zaak is de doorgifte van persoonsgegevens naar derde landen buitengewoon complex geworden. Doorgifte van persoonsgegevens naar landen zonder een adequaat beschermingsniveau – zoals de VS – is op een enkele uitzondering na, vrijwel onmogelijk geworden. En dat is in het licht van onze internationale digitale economie ‘enigszins’ problematisch te noemen (excuse our sarcasm). Velen onder ons hadden de hoop dat de EDBP in haar aanbevelingen de deur voor data-transfers buiten de EU weer op een kier zou zetten, maar het lijkt er vooralsnog op dat die deur dicht blijft. Hieronder bespreken we de 6 aanbevelingen. De aanbevelingen van de EDBP staan trouwens nog open voor commentaar. Wil jij jouw feedback geven? Kijk dan eens op de website van de EDPB.

#1 Breng je data-doorgiftes in kaart

Als eerste stap raadt de EDPB je aan om al jouw doorgiften in kaart te brengen. In de bewoordingen van de EDPB: “know your transfers”. Je moet dus nagaan naar welke landen buiten de EU je persoonsgegevens doorgeeft. Geen idee waar je moet beginnen? Kijk eens in je verwerkingsregister. Als het goed is heb je daarin al opgenomen aan welke derde landen je persoonsgegevens doorgeeft.

Let op: er is volgens de EDBP ook sprake van ‘doorgifte’ als een dienstverlener in een derde land toegang heeft tot de persoonsgegevens of de persoonsgegevens worden opgeslagen in een cloud buiten de EER.

#2 Check de transfer-tool

Zoals gezegd biedt de AVG verschillende mechanismen (‘transfer-tools’) waarmee een veilige doorgifte naar een derde land kan plaatsvinden. Voor elke doorgifte buiten de EU zal je moeten bekijken van welk mechanisme je gebruik kan maken. Check altijd eerst of er misschien een adequaatheidsbesluit is, op basis waarvan de doorgifte mag plaatsvinden: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Is er geen adequaatheidsbesluit aanwezig? Dan zal je moeten kijken of de doorgifte misschien kan plaatsvinden op basis van SCC’s, artikel 49 AVG, etc.

#3 Check de  lokale (surveillance-)wetgeving

Het is volgens de EDBP niet voldoende om een transfer-tool uit te kiezen op basis waarvan je jouw doorgiften buiten de EU baseert. Je moet namelijk ook beoordelen of jouw transfer-tool daadwerkelijk effectief is in de bescherming van de persoonsgegevens. Dit betekent volgens de EDBP dat je moet nagaan of de lokale wet- en regelgeving in het derde land, afbreuk doet aan de bescherming van persoonsgegevens (denk met name aan eventuele surveillance wetgeving). Buitenlandse surveillance wetgeving mag in ieder geval niet botsen met de volgende ‘European essential guarantees’:

  • De verwerking van persoonsgegevens moet gebaseerd zijn op duidelijke, nauwkeurige en toegankelijke regels;
  • De noodzakelijkheid en proportionaliteit van de verwerking moeten worden aangetoond;
  • Er moet een onafhankelijk toezichtsmechanisme bestaan;
  • Er moeten ‘effective remedies’ beschikbaar zijn voor het individu

#4  Neem extra maatregelen

Kwam je er bij stap 3 achter dat jouw transfer-tool niet effectief is (oftewel, de lokale wetgeving van het land biedt onvoldoende bescherming)? Dan mag de doorgifte alleen plaatsvinden als er extra maatregelen worden genomen en deze maatregelen ervoor zorgen dat de bescherming van de persoonsgegevens alsnog op het vereiste niveau terechtkomt. De EDBP geeft ons een (niet-uitputtende) lijst van mogelijke aanvullende maatregelen die kunnen worden genomen, zoals encryptie of pseudonimisering.

#5  Passende waarborgen

De vijfde stap houdt in dat de importer en exporter wel nog even alle formaliteiten moeten vervullen die de gekozen transfer-tool van hun eist.

#6  Evaluatie

Je dient eventuele relevante ontwikkelingen in het derde land in de gaten te houden. Houd dus in de gaten of het beschermingsniveau hetzelfde blijft en de doorgifte van data nog (steeds) kan plaatsvinden.

Onze kritiek

Alhoewel de uitgebreide handleiding van de EDBP zeker indrukwekkend te noemen is en er een aantal handige concrete praktijksituaties worden geschetst, lijkt het voor het Europese ondernemers nog steeds vrijwel onmogelijk om legaal gebruik te maken van Amerikaanse dienstverleners.

In hoeverre kan je van ondernemers verwachten dat ze de lokale (surveillance-)wetgeving analyseren of hiervoor een team van juristen inschakelen? Is het eigenlijk wenselijk dat het aan de private sector wordt overgelaten om dit soort complexe beoordelingen te doen? Laten we niet vergeten dat surveillancewetgeving vaak buitengewoon complex is en moeilijk toegankelijk.

In het licht van het voorgaande, lijkt het er toch op dat Europese bedrijven serieus moeten gaan overwegen om langzaam maar zeker over te stappen naar Europese alternatieven.

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).