Een veilige gegevensuitwisseling buiten de EU?

Laurie-Anne Bourdain, Risk and Privacy Officer

  • Delen
  • facebook
  • twitter
  • linkedin

Schrems II & GDPR: gegevensuitwisseling met landen buiten de EU

In juli 2020 heeft het Hof van Justitie van de Europese Unie (HvJ-EU) in zijn Schrems II-besluiten aangekondigd dat het Privacy Shield geen adequaat mechanisme was om een veilige uitwisseling van persoonsgegevens naar de VS te waarborgen. Het Privacy Shield werd ongeldig verklaard, waardoor de uitwisseling van persoonsgegevens met gebruikmaking van het Privacy Shield niet in overeenstemming is met de Algemene Verordening Gegevensbescherming (AVG), ook wel gekend als GDPR.

In dezelfde uitspraak werd ook opgemerkt dat de standaardcontractbepalingen (Standard Contractual Clauses of SCC’s) niet volstaan voor de uitwisseling van persoonsgegevens in landen waar de wetgeving de volledige toepassing en handhaving van deze bepalingen niet toestaat.

Dit geldt met name voor uitwisseling naar de VS, waar toezichtswetten de Amerikaanse instanties vrijwel onbeperkt toegang tot gegevens verlenen. Toch moet dit besluit worden toegepast op doorgiften naar alle landen die geen deel uitmaken van de Europese Economische Ruimte of waarvoor geen besluit over adequaatheid geldt (Andorra, Argentinië, Canada (commerciële organisaties), Faeröer, Guernsey, Israël, het eiland Man, Japan, Jersey, Nieuw-Zeeland, Zwitserland en Uruguay).

Standaardcontractbepalingen kunnen niet meer blindelings worden gebruikt, bedrijven moeten eerst een effectbeoordeling van de gegevensdoorgifte (Transfer Impact Assessment of TIA) uitvoeren voor nieuwe en bestaande uitwisselingen met derde landen.

Het Europees Comité voor gegevensbescherming (EDPB) heeft in november 2020 aanbevelingen gepubliceerd om een dergelijke TIA uit te voeren. Hun aanbeveling voorziet in een 6-stappenplan voor bedrijven die gegevens uitwisselen met derde landen:

  1. Identificeren en in kaart brengen van doorgiften van persoonsgegevens, inclusief welke doorgiften: doorgiften die worden uitgevoerd door verwerkers en sub-verwerkers naar aanvullende derde partijen;
  2. Vaststellen welk doorgifte-instrument wordt gebruikt, zoals een adequaatheidsbesluit, standaardcontractbepalingen, of bindende bedrijfsvoorschriften;

  3. Beoordelen of het doorgifte-instrument doeltreffend is, rekening houdend met de wetgeving en de algemene praktijken van het derde land (gegevensbescherming, toezicht, eerbiediging van de rechten van personen…), de mogelijkheid voor betrokkenen om hun rechten efficiënt en effectief uit te oefenen en beroep in rechte in te stellen, en de aanwezigheid en de activiteiten van onafhankelijke toezichthoudende autoriteiten.

  4. Het nemen van aanvullende maatregelen (zie hieronder) of het stopzetten van de doorgiften wanneer deze niet hetzelfde beschermingsniveau kunnen bieden als in de EU.

  5. Alle formele procedurele stappen nemen die nodig zijn voor de uitvoering van vastgestelde aanvullende maatregelen, zoals toestemming krijgen van de gegevensbeschermingsautoriteit indien de aanvullende maatregelen in strijd zijn met de standaardcontractbepalingen.

  6. Evalueer met passende tussenpozen opnieuw de wijzigingen in de wetgeving of de praktijk in derde landen of uw aanvullende maatregelen doeltreffend blijven en of uw verwerkers de aanvullende maatregelen naleven.

Het uitvoeren van een dergelijke beoordeling is bijzonder moeilijk voor bedrijven, zelfs met een eigen juridische afdeling, aangezien dit een uitgebreide en actuele kennis vereist van de wetten en praktijken van elk land waar persoonsgegevens worden doorgegeven. Alleen voor de VS is deze beoordeling eenvoudig (zij is uitgevoerd door het HvJ-EU): elke doorgifte aan bedrijven die onder de Foreign Intelligence Surveillance Act (FISA), sectie 702, en/of de Executive Order 12333 vallen, loopt gevaar. Dit vertegenwoordigt een groot deel van de providers waar veel bedrijven gebruik van maken.

De door de EDPB genoemde aanvullende maatregelen kunnen worden toegepast op legitieme gegevensuitwisseling met de VS, maar in de praktijk zijn zij uiterst onpraktisch.

Met uitzondering van een beperkte reeks casestudies die in de EDPB-aanbevelingen worden beschreven, zullen de aanbevolen aanvullende maatregelen niet efficiënt of effectief blijken te zijn om de voortzetting van activiteiten met in de VS gebaseerde diensten te waarborgen. Enkele van de door de EDPB gegeven voorbeelden zijn:

  1. Het implementeren van sterke end-to-end-encryptie van persoonsgegevens, zonder dat de verwerker toegang heeft tot de decryptiesleutel.

Dit is een geldige oplossing wanneer de verwerker alleen een reeks gegevens hoeft te archiveren; maar het ontneemt de verwerker de mogelijkheid om de gegevens te manipuleren of te gebruiken zoals vereist zou zijn, bijvoorbeeld voor het verzenden van mededelingen, voor fraudebestrijdingscontroles of om de identiteit van een gebruiker te controleren.

  1. Anonimisering of pseudonimisering (de door de verwerker ontvangen gegevens moeten voor hem anoniem zijn) van de verwerkte persoonsgegevens, met de zekerheid dat de verwerker geen betrokkenen opnieuw kan identificeren.

Dit is een oplossing die kan worden gebruikt wanneer de verwerker niet de volledige dataset nodig heeft om zijn diensten te verlenen (zoals statistieken of business intelligence), maar die niet uitvoerbaar zal blijken wanneer de verwerker meer gegevens nodig heeft om de vereiste verwerking uit te voeren, zoals het verstrekken van een cloud software.

Hoewel GDPR een risicogebaseerde wet is die het mogelijk maakt oplossingen te definiëren en toe te passen waarbij rekening wordt gehouden met de risico’s voor de betrokkenen, is gegevensoverdracht geen onderdeel van de verordening dat aan dergelijke risicogebaseerde besluiten kan worden onderworpen. Dit betekent dat zelfs indien de risico’s voor de rechten en vrijheden van personen gering zijn, elke uitwisseling van gegevens moet voldoen aan de GDPR-vereisten en de aanbevelingen van de EDPB en de betrokken toezichthoudende autoriteiten.

Zoals vandaag echter blijkt, is het voor bedrijven niet altijd mogelijk om aanvullende maatregelen te nemen die een conforme doorgifte van persoonsgegevens naar derde landen mogelijk maken; en het stopzetten van dergelijke doorgiften kan de bedrijfsdoelstellingen in de weg staan.

De EDPB heeft deze feedback in overweging genomen en werkt aan een nieuwe versie van haar aanbevelingen van november 2020.

  • Delen
  • facebook
  • twitter
  • linkedin

Gerelateerde berichten

Blogs

Sanae Abchirs avontuur als stagiaire bij Isabel Group

Mijn avontuur @Isabel Group Toen ik mijn zoektocht naar de ideale stage begon, wist ik één ding zeker: sociaal contact is ...

Blogs

FinTech trend #2: U erkent het belang van een digitale identiteit

Technologie doet meer dan uw organisatie ondersteunen. Het bouwt mee aan de toekomst en de groei ervan. Dit geldt voor alle sectoren in ...

Blogs

Decupere & Partners vindt zijn weg in de digitale jungle

‘Voor accountants is het een jungle om hun weg te vinden in al die tools’, zegt Dieter Bonte, CCO bij ...