Checklist voor doorgifte van persoonsgegevens na Schrems II

Author info

Het arrest van het Hof van Justitie van de Europese Unie van 16 juli 2020 in de zaak Schrems II heeft veel onzekerheid gecreëerd voor organisaties die persoonsgegevens buiten de EER doorgeven. Niet alleen werd het EU-VS privacy shield ongeldig verklaard, ook legde het Hof voorwaarden op voor het gebruik van standaardcontractbepalingen (standard contractual clauses of SCC's) als mechanisme voor de doorgifte van persoonsgegevens naar niet-EER-landen en dit zonder enige respijtperiode. Een dergelijke doorgifte moet te allen tijde voldoende waarborgen bieden om een beschermingsniveau te waarborgen dat in wezen gelijkwaardig is aan dat van het EU-recht. 

Maar hoe moet deze eis in de praktijk worden vervuld? Kan van de in de EER gevestigde partij worden verwacht dat zij alle buitenlandse rechtsstelsels onder de loep neemt en van geval tot geval beslist of er aanvullende juridische waarborgen nodig zijn? En welke maatregelen moet zij nemen? Hoe moet zij een adequate bescherming bieden tegen toegang door de overheid in niet-EER-landen? Hoe moet zij ervoor zorgen dat de rechten of rechtsmiddelen van de betrokkenen te allen tijde worden gerespecteerd?

Zowel het Europees Comité voor gegevensbescherming (European Data Protection Board of EDPB) als de Europese Commissie hebben op respectievelijk 11 en 12 november een aantal eerste praktische aanbevelingen en instrumenten voorgesteld.

1. De EDPB aanbevelingen van 11 november 2020

De EDPB heeft in feite twee reeksen van aanbevelingen geformuleerd

Eerste reeks 

Recommendations on supplementary measures for transfer tools

 

Status: ontwerp

 

Organisaties kunnen tot 21 december 2020 feedback geven.

Deze reeks aanbevelingen bevat het ontwerp van aanvullende maatregelen die de EDPB aanbeveelt om internationale doorgiftes toe te staan in het kader van de AVG. 

De EDPB stelt voor om een stappenplan te volgen met zes logische stappen (die bevestigen wat sommige organisaties al deden sinds het Schrems II-arrest): 

Stap 1. Ken je doorgiftes. 

> b.v. beoordelen van de noodzaak, zorgen voor dataminimalisatie, enz. Dit vereist een goede data mapping. Zijn er verdere doorgiftes?

Stap 2. Controleer de doorgiftemechanismen waarop u vertrouwt. 

> Artikel 45 tot en met 49 van de AVG.

>alleen adequaatheidsbesluiten van de Europese Commissie bieden 100% zekerheid.

Stap 3. Beoordeel de doeltreffendheid ervan in de context van het recht of de praktijk van het derde land. 

> Voor deze beoordeling zal de tweede reeks EDPB aanbevelingen nuttig zijn, evenals bepaalde academische initiatieven, zoals deze.

> Vraag de gegevensimporteur om informatie te verstrekken over de wetgeving en de rechtspraak in het derde land.

Stap 4. Identificeer en neem aanvullende maatregelen met het oog op het bereiken van een gelijkwaardige bescherming.

> dit kunnen technische (bv. encryptie), organisatorische (bv. intern beleid) of juridische (bv. contracten) maatregelen zijn.

> doe geen doorgiftes als de aanvullende maatregelen onvoldoende blijken. 

Stap 5. Neem indien nodig formele procedurele stappen om de vierde stap te vervullen. 

> neem bijvoorbeeld contact op met de bevoegde toezichthoudende autoriteit indien dit op grond van artikel 45 of 46 van de AVG nodig is.

Stap 6. Evalueer uw aanvullende maatregelen op regelmatige basis.

> het doorgiftemechanisme en de mogelijke aanvullende maatregelen moeten na verloop van tijd wellicht worden aangepast. 

Tweede reeks

Recommendations on European Essential Guarantees for surveillance measures 

 

Status: definitief

Deze reeks aanbevelingen biedt een leidraad voor de beoordeling van de doeltreffendheid van het transfer mechanisme in de context van de wetgeving of de praktijk van het derde land.

 

2. De ontwerp-SCC's van 12 november 2020

De Europese Commissie heeft de langverwachte nieuwe SCC's conform de AVG samen met het ontwerp van uitvoeringsbesluit voor deze SCC's gepubliceerd. 

Zoals verwacht hanteren de nieuwe SCC's een modulaire aanpak die in 4 scenario's kan worden gebruikt: 

(i) doorgiftes van een verwerkingsverantwoordelijke naar een verwerkingsverantwoordelijke; 

(ii) doorgiftes van een verwerkingsverantwoordelijke naar een verwerker; 

(iii) doorgiftes van een verwerker naar een verwerker; en

(iv) doorgiftes van een verwerker naar een verwerkingsverantwoordelijke. 

De nieuwe SCC's vereisen dat de gegevensexporteurs een effectbeoordeling van de gegevensdoorgifte (transfer impact assessment of TIA) uitvoeren. Zodoende is een dergelijke TIA nu een formele eis en niet langer alleen gebaseerd op aanbevelingen van de EDPB. 

Subverwerkers zouden bovendien audits van de in de EER gevestigde verwerkingsverantwoordelijke moeten aanvaarden. Aangezien er mogelijk een zeer groot aantal verwerkingsverantwoordelijken op dezelfde subverwerker vertrouwt, zal het interessant zijn om te zien hoe subverwerkers op een dergelijke eis zullen reageren.

Er blijft verder een verschil bestaan tussen niet in de EER-gevestigde organisaties die rechtstreeks en volledig onder de AVG vallen, en organisaties die contractueel verplicht zijn om de principes van de AVG te volgen op basis van de SCC’s. 

De nieuwe SCC's gepubliceerd door de Europese Commissie zijn ontwerp-SCC’s. Organisaties kunnen nog tot 10 december 2020 feedback geven. De goedkeuring van de definitieve SCC's wordt begin 2021 verwacht.

3. Onze beoordeling en belangrijkste punten

1. Maak gebruik van de mogelijkheid om feedback te geven

Wij moedigen organisaties aan om de gelegenheid te gebruiken om feedback te geven over de eerste reeks EDPB aanbevelingen en over de ontwerp-SCC's tot respectievelijk 21 december 2020 en 10 december 2020. 

2. Ga meteen aan de slag en documenteer uw aanpak

De toezichthoudende autoriteiten zullen de nieuwe vereisten handhaven en er zijn geen aanwijzingen dat zij hun optreden zullen uitstellen. Daarom is een afwachtende houding geen optie. Organisaties moeten zo snel mogelijk beginnen met het in kaart brengen van hun gegevensstromen en met de effectbeoordeling van gegevensdoorgiftes. Dit moet hen in staat stellen eerste conclusies te trekken over de vraag of er aanvullende beschermingsmaatregelen nodig zijn en hoe deze eruit moeten zien. Alle inspanningen in dit verband moeten naar behoren worden gedocumenteerd als onderdeel van de algemene verantwoordingsplicht in het kader van de AVG.

3. De EDPB aanbevelingen zijn niet gebruiksklaar.

De EDPB aanbevelingen zijn vrij algemeen van aard en bevelen dezelfde maatregelen aan voor alle soorten persoonsgegevens, zonder rekening te houden met de aard van de gegevens. Dit is betreurenswaardig vanuit evenredigheidsoogpunt. Organisaties moeten deze beoordeling dus nog steeds zelf maken. 

4. De ontwerp-SCC's zijn complex en gedetailleerd, en bieden meer mogelijkheden.

De nieuwe SCC's bieden meer mogelijkheden. EER-verwerkingsverantwoordelijken en -verwerkers kunnen de module kiezen die het best bij hen past en de clausules in een ruimere overeenkomst opnemen. De EDPB aanbevelingen moeten in aanmerking worden genomen om de SCC's waar nodig en vereist aan te vullen. Aanvullende contractuele maatregelen kunnen bijvoorbeeld de verplichting omvatten om de in de EER gevestigde exporteur in kennis te stellen van eventuele verzoeken om toegang en openbaarmaking in het derde land en om waar mogelijk een verzaking te verkrijgen.

Er is een overgangsperiode van één jaar voorzien om alle huidige SCC's die in gebruik zijn, in te trekken. Hoewel de nieuwe SCC's niet voor begin 2021 formeel zullen worden aangenomen, bevelen wij organisaties die veel persoonsgegevens doorgeven, vooral wanneer deze gegevens gevoelig zijn, aan om nu al met hun TIA te beginnen. 

In het geval van een no-deal Brexit tegen het einde van de overgangsperiode op 31 december 2020, moeten in de EER gevestigde organisaties per 1 januari 2021 de huidige SCC's ten aanzien van Britse gegevensimporteurs implementeren en enkele maanden later door de nieuwe SCC's vervangen. 

5. Technische maatregelen kunnen helpen bij het bereiken van een adequate bescherming, maar doen dat niet noodzakelijk.

Encryptie en pseudonimisering kunnen worden gebruikt, maar alleen als het gebruik ervan werkelijk een effectieve en adequate bescherming biedt. De encryptie moet zeer sterk zijn en zodanig worden uitgevoerd dat de gegevens in het derde land niet kunnen worden ontcijferd, ook al zijn de gegevens in rusttoestand volledig versleuteld. De gegevensimporteur mag dus op geen enkele wijze betrokken zijn bij het sleutelbeheer. Dit betekent dat de in de EER gevestigde gegevensexporteurs ervoor moeten zorgen dat de toegepaste pseudonimisering elke heridentificatie van de betrokkene in het derde land onmogelijk maakt. Dit kan een zeer moeilijke taak blijken in de realiteit.