VERDIEPINGSARTIKEL

Opslag in de VS niet zonder meer veilig volgens Europese regelgeving

Werknemers werken meer online, software draait steeds vaker in de webbrowser en bestanden worden online opgeslagen. Veel softwarebedrijven zijn (nog altijd) van origine Amerikaans.

Dat betekent ook dat persoonlijke gegevens in de VS worden opgeslagen en verwerkt. En misschien werkt uw organisatie ook wel met Dropbox en soortgelijke diensten. Een uitspraak van de hoogste Europese rechter maakt dit sinds kort een stuk lastiger. Wat te doen met uw Amerikaanse dienstverlener?


9 september 2020 5 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online en Joris Voorhuis, juridisch medewerker Privacy en ICT en externe functionaris gegevensbescherming, tel: 033 450 8000, e-mail: voorhuis@marxman.nl, www.marxman.nl


Maakt uw organisatie gebruik van een (ICT-)dienstverlener die persoonlijke gegevens verwerkt, zoals opslaan, wijzigen of inzien? En is deze dienstverlener gevestigd in een land buiten de Europese Economische Ruimte (EER), zoals de VS? Dan is uw organisatie op basis van de Europese Algemene Verordening Gegevensbescherming (AVG) verplicht om aanvullende maatregelen te nemen.

Wettelijke maatregelen

Het doorgeven van persoonsgegevens – of ze nu van uw donateurs, uw werknemers of uw vrijwilligers zijn – naar landen buiten de EER is meestal gebaseerd op de onderstaande aanvullende (wettelijke) maatregelen:

  • Het beschermingsniveau van een land buiten de EER is als ‘adequaat’ aangemerkt door de Europese Commissie.
  • U gebruikt de zogeheten Standard Contractual Clauses (SCC’s), opgesteld door de Europese Commissie.

Juist deze twee maatregelen zijn strikt genomen niet meer bruikbaar na een uitspraak van de hoogste Europese rechter.

Tussen Europa en de VS is een verdrag gesloten dat een veilige doorgifte en opslag van persoonsgegevens in de VS mogelijk maakt. Dit verdrag staat ook wel bekend als het Privacy Shield.

Op dit Privacy Shield was veel kritiek, voornamelijk omdat het onder Amerikaans recht voor de Amerikaanse inlichtingen- en veiligheidsdiensten mogelijk bleef om gegevens van EU-burgers in te zien en te gebruiken.

Oostenrijker Max Schrems startte om deze reden een rechtszaak tegen Facebook. Die zorgde er uiteindelijk voor dat de hoogste Europese rechter concludeerde dat het verdrag géén passend beschermingsniveau biedt voor persoonlijke gegevens. Het beschermingsniveau van Europese gegevens in de VS is op basis van dit verdrag in strijd met de AVG.

Hoe snel moet uw organisatie reageren op deze uitspraak?

Maakt uw organisatie bijvoorbeeld gebruik van cloudopslag Dropbox of e-mailsoftware Mailchimp, dan is het verwerken van persoonsgegevens door deze dienstverleners nu strikt genomen illegaal. Dit is namelijk gebaseerd op het Privacy Shield verdrag en daarom in strijd met de AVG.

Wordt de soep dan ook zo heet gegeten? Hoewel de Nederlandse toezichthouder Autoriteit Persoonsgegevens (AP) niet morgen bij u op de stoep staat, wordt wel verwacht dat uw organisatie actie onderneemt.

De overkoepelende European Data Protection Board heeft aangegeven dat er geen ‘gedoogtermijn’ is voor organisaties. Het is daarom belangrijk u hier op korte termijn in te verdiepen.

Kan beschermingsniveau worden gehaald

Doorgifte van persoonsgegevens naar landen buiten de EER is niet alleen mogelijk op basis van het Privacy Shield, maar ook op basis van eerdergenoemde SCC’s. Deze modelovereenkomsten kunt u zien als een zeer uitgebreide verwerkersovereenkomst of gegevensuitwisselingsovereenkomst.

Voor doorgifte van persoonlijke gegevens aan een dienstverlener in de VS zijn de SCC’s geldig verklaard. De rechter heeft hier wel een kanttekening bij geplaatst, namelijk dat de gegevensverstrekker (dat is uw organisatie) en gegevensontvanger (dat is uw dienstverlener) allebei moeten nagaan of het beschermingsniveau dat is afgesproken in de SCC’s ook daadwerkelijk kan worden gehandhaafd.

Standaardcontracten voldoen niet

Hoewel dit niet zo direct in de uitspraak staat, zal het handhaven van het afgesproken beschermingsniveau in veel gevallen niet mogelijk zijn bij een dienstverlener die is gevestigd in de VS. Alle ICT-dienstverleners in de VS vallen bijvoorbeeld onder de FISA (Foreign Intelligence Surveillance Act).

Omdat het mogelijk blijft voor Amerikaanse inlichtingen- en veiligheidsdiensten om toegang tot persoonlijke gegevens te verkrijgen, kan een ICT-dienstverlener zoals Dropbox of Google niet aan de voorwaarden in de SCC’s voldoen. De standaardcontracten voldoen niet en zonder aanvullende maatregelen kunt u dus eigenlijk geen persoonsgegevens doorgeven en op laten slaan door Amerikaanse bedrijven.

Is uw organisatie onderdeel van een concern of groepsmaatschappij? Dan is het ook mogelijk dat u ‘bindende bedrijfsvoorschriften’ heeft opgesteld voor doorgifte van gegevens naar de VS. Deze kunt u echter ook niet meer gebruiken zonder aanvullende maatregelen.

Ga op zoek naar een Europees alternatief

Alternatieve routes

Werkt u samen met een dienstverlener die persoonsgegevens voor u verwerkt, dan kunt u bij het aanpassen van bestaande gegevensverwerking in de VS grofweg 2 routes nemen.

De meest voor de hand liggende optie is om op zoek te gaan naar een Europees alternatief, namelijk een in Europa gevestigde leverancier met servers in Europa. Dit kan ook een dochteronderneming zijn van een in Amerika gevestigde dienstverlener of leverancier.

Veel grote ICT-dienstverleners hebben zo’n Europese dochteronderneming. Voorbeelden hiervan zijn Microsoft Ireland of Amazon Web Services EMEA SARL (Luxemburg).

Overstappen op een andere ICT-dienstverlener is helaas niet altijd direct een optie. Bijvoorbeeld omdat uw organisatie een overeenkomst niet direct kan opzeggen of omdat geen goed alternatief voorhanden is. In dat geval kiest u voor route twee.

Gegevens zelf versleutelen

Uw tweede optie is toch de SCC’s gebruiken. Daarbij neemt u (technische) maatregelen, zodat het beschermingsniveau dat de SCC’s bieden, ook daadwerkelijk wordt nageleefd. Dit betekent dat de Amerikaanse inlichtingendiensten geen toegang meer hebben tot de gegevens.

Een voorbeeld van een technische maatregel is het versleutelen van de gegevens, vóórdat u ze overdraagt aan de (in de VS gevestigde) dienstverlener. Doordat uw organisatie de gegevens zelf versleutelt of dat door een derde partij laat doen, blijft de sleutel buiten de macht van uw dienstverlener.

De dienstverlener kan de data dan zelf niet inzien en kan ook geen inzage geven aan buitenlandse autoriteiten. Dit vereist wel de nodige expertise en brengt extra kosten met zich mee.

Moet úw organisatie aanpassingen maken?

De grote vraag is natuurlijk waar u mee begint. Stel uzelf eerst eens de onderstaande 3 vragen:

  1. Maakt mijn organisatie gebruik van een dienstverlener in de VS?
  2. Verwerkt de dienstverlener persoonlijke gegevens voor mijn organisatie?
  3. Zijn het Privacy Shield, de SCC’s of bindende bedrijfsvoorschriften de basis voor de doorgifte van gegevens?

Als u alle 3 de vragen met ‘ja’ kunt beantwoorden, betekent dat dat uw organisatie aan de bak moet om de gegevensverwerking aan te passen.

Beoordeel noodzaak maatregelen

Per soort verwerking zal uw organisatie moeten beoordelen of aanvullende (technische) maatregelen noodzakelijk zijn. Gaat het bijvoorbeeld om medische gegevens of financiële gegevens, dan zal de noodzaak groter zijn dan wanneer het gaat om een naam en een e-mailadres.

Bij de beoordeling doet u er goed aan om de motivering in een heldere bewoording en op een makkelijk vindbare plaats vast te leggen. Stel dat de Autoriteit Persoonsgegevens toch bij u aanklopt, dan kunt u uitleggen waarom uw organisatie er alsnog voor heeft gekozen om gegevens te verwerken via een dienstverlener in de VS.

Actie ondernemen

De uitspraak van de Europese rechter heeft één ding duidelijk gemaakt. Verwerking van persoonsgegevens door een dienstverlener in de VS is op basis van het Privacy Shield niet meer mogelijk. Verwerkt een Amerikaanse organisatie gegevens voor uw organisatie op basis van het Privacy Shield, dan zult u dus actie moeten ondernemen.

Een Europese dienstverlener is het meest gemakkelijke alternatief en daarom doet u er goed aan om die optie als eerste te onderzoeken. Daarnaast is het sluiten van een SCC inclusief aanvullende maatregelen een mogelijkheid.

Hierover is echter nog veel onduidelijkheid. Extra toelichting van de European Data Protection Board en de Autoriteit Persoonsgegevens biedt op korte termijn hopelijk meer handvaten, zodat uw organisatie het doorgeven van persoonsgegevens aan organisaties in de VS alsnog op een juiste manier kan richten.