Timelex
toonaangevend nichekantoor
Menu

Raad van State bevestigt mogelijkheid tot doorgifte gegevens naar Verenigde Staten

Author info
Edwin Jacobs
Edwin Jacobs
Bernd Fiten
Bernd Fiten
15/09/2021
Privacy & gegevensbescherming

Na de Franse Raad van State in de Doctolib-zaak, bevestigt nu ook de Belgische Raad van State de mogelijkheid om persoonsgegevens door te geven naar de Verenigde Staten. Dit kan worden beschouwd als een belangrijke bevestiging sinds het Schrems II-arrest van het Hof van Justitie van de Europese Unie ("HvJEU"). Wij lichten hieronder kort toe.

Wat ging eraan vooraf?

Op 17 juli 2020 verklaarde het HvJEU in het Schrems II-arrest het Privacy Shield als mechanisme voor de doorgifte van persoonsgegevens van de EU naar de Verenigde Staten ongeldig. Dit had tot veel onzekerheid geleid en daarom gaven het Europees Comité voor gegevensbescherming (European Data Protection Board of EDPB) en de Europese Commissie op respectievelijk 11 en 12 november 2020 een aantal eerste praktische aanbevelingen en instrumenten.

Samenvattend kan worden gesteld dat het Privacy Shield weliswaar ongeldig werd verklaard, maar de modelcontractbepalingen van de Europese Commissie bleven wel een geldig doorgiftemechanisme om persoonsgegevens naar de Verenigde Staten door te geven, op voorwaarde dat er voldoende bijkomende technische en organisatorische maatregelen werden genomen om een adequaat beschermingsniveau van de persoonsgegevens te waarborgen.

Franse Raad van State: Doctolib-zaak

In de nasleep van het Schrems II-arrest, spanden enkele belangenorganisaties een zaak aan tegen de Franse overheid omdat Doctolib, een medisch portaal voor het maken van een vaccinatieafspraak (tegen Covid-19), een beroep deed op de clouddiensten van Amazon (in dit geval de Luxemburgse entiteit) voor de hosting van het afsprakensysteem. De Franse Raad van State diende in deze zaak te oordelen of de genomen maatregelen door de Franse overheid voldoende waren om het beschermingsniveau van de persoonsgegevens te waarborgen.

De Franse Raad van State oordeelde op 12 maart 2021 dat er geen doorgifte van persoonsgegevens was, maar wel dat er een risico zou zijn dat de Amerikaanse overheidsdiensten toegang zouden verkrijgen tot de gegevens aangezien de gegevens werden gehost door een Europese dochteronderneming van een Amerikaanse entiteit. Sinds het Schrems II-arrest, moet in zo’n geval worden bekeken of bijkomende maatregelen noodzakelijk zijn. De Franse Raad van State oordeelde dat onderstaande genomen technische, organisatorisch en juridische maatregelen voldoende waren om een adequaat beschermingsniveau te waarborgen:

  • Het ging enkel over informatie van afspraken en niet over medische gegevens.
  • De gegevens werden slechts voor drie maanden bewaard.
  • De betrokkenen konden zelf de gegevens verwijderen.
  • Amazon had een addendum over toegangsverzoeken door overheidsdiensten waaruit bleek dat zij elk verzoek van overheden zou aanvechten.
  • Versleuteling van de gegevens door Atos, een Franse dienstverlener, waarbij de sleutels niet in handen van Amazon kwamen.

Belgische Raad van State: Mobiliteitscentrale-zaak

Op 19 augustus 2021 heeft de Belgische Raad van State een gelijkaardig arrest geveld. Op 16 juli 2021 werd door het Vlaamse Gewest een overheidsopdracht gegund aan ViaVan Technologies (“ViaVan”) voor het inrichten en uitbaten van de in het decreet basisbereikbaarheid kaderende Mobiliteitscentrale. Concurrenten van ViaVan (“verzoekende partijen”) stelden een schorsingsberoep in tegen deze gunningsbeslissing.

Aangezien ViaVan een dochteronderneming is van een Amerikaanse entiteit, betoogden de verzoekende partijen dat er een doorgifte van persoonsgegevens is naar de Verenigde Staten en stelden zij dat er geen enkele aanvullende maatregel denkbaar was die zou kunnen toelaten om het ontoereikende beschermingsniveau in de Verenigde Staten te verhelpen.

De Raad van State verwierp echter op 19 augustus 2021 het middel van de verzoekende partijen dat er geen geldig doorgiftemechanisme zou zijn. De Raad van State verwees naar het Schrems II-arrest om te stellen dat de modelcontractbepalingen nog steeds geldig zijn, mits er bijkomende maatregelen worden genomen indien dat is vereist om een adequaat beschermingsniveau te waarborgen. De Raad van State kwam tot het besluit dat uit het dossier bleek dat ViaVan een uitgebreide set aan waarborgen bood. Uit het arrest valt af te leiden dat het minstens ging om een volledige encryptie voordat de gegevens bij de dienstverlener werden geplaatst, en waarbij de encryptiesleutels in eigen beheer werden gehouden. Aangezien er vertrouwelijke stukken werden neergelegd, lichtte de Raad van State niet toe om welke uitgebreide set aan waarborgen het ging.

Slotbemerkingen

De vraag is of de discussie inzake doorgiften van persoonsgegevens is beslecht met de uitspraken van de Franse en Belgische Raad van State. Waarschijnlijk niet.

  • Wat we wel weten, is (1) dat indien de overheid kiest om de opdracht te gunnen aan een (dochteronderneming van een) Amerikaanse entiteit, dit niet noodzakelijk betekent dat de gunningsbeslissing dient te worden geschorst en (2) dat volledige encryptie voor de gegevens bij de dienstverlener worden geplaatst en waarbij de encryptiesleutels in eigen beheer worden gehouden, één van de mogelijke waarborgen kan zijn.
  • Wat we niet weten, is of de Gegevensbeschermingsautoriteit (GBA) en het Marktenhof op dezelfde manier als de Raad van State zouden oordelen over de genomen waarborgen. Het is immers niet uitgesloten dat er op een later moment een klacht zal worden ingediend tegen deze verwerking en dat de GBA zich zal moeten uitspreken over de concrete waarborgen in kwestie.

Tot slot kan de vraag gesteld worden welk gewicht er aan de uitspraak gehecht moet worden, want het ging hier om een uitspraak door een vakantiekamer in een kortgeding, namelijk een UDN-procedure (Uiterst Dringende Noodzakelijkheid) tot schorsing van een gunning van een overheidsopdracht.

Nuttige bronnen:

  • De EDPB nam op 21 juni 2021 de finale versie van de aanbeveling 01/2020 over bijkomende technisch een organisatorische maatregelen aan.
  • De EDPB publiceerde op 10 november 2020 aanbeveling 02/2020 over de Europese essentiële garanties voor surveillancemaatregelen.
  • Het arrest van de Franse Raad van State in de Doctolib-zaak.
  • Het arrest van de Belgische Raad van State in de Mobiliteitscentrale-zaak.

Heeft u een specifieke vraag of wenst u ondersteuning? Wij helpen u graag. Neemt u in dat geval contact op met een Timelex-advocaat.

Related posts