Schrems II actielijst & FAQ

Met de Schrems II uitspraak van het CJEU is er een hoop veranderd op het gebied van privacy. ICTRecht heeft een actielijst opgesteld met hierin tips om direct actie te kunnen ondernemen naar aanleiding van de uitspraak. Daarnaast geven we in onze FAQ-antwoord op de meest prangende vragen met betrekking tot de Schrems II uitspraak.

Staat uw vraag er niet tussen?

Op deze FAQ-pagina vindt u meer informatie over de gevolgen op het gebied van privacy naar aanleiding van de Schrems II uitspraak. Staat uw vraag er niet tussen? Neem dan contact met ons op.

Neem contact op
legaltools-big

Actie 1: pas de privacyverklaring aan

Geef jij, of geeft jouw organisatie momenteel gegevens door aan landen in de Verenigde Staten (of elders buiten de EER), dan vereist de AVG dat betrokkenen hierover geïnformeerd worden. Nu het mechanisme bij uitstek voor doorgifte van persoonsgegevens naar de Verenigde Staten is weggevallen, is het opnieuw tijd om betrokkenen te informeren. Daarbij is het belangrijk om luid en duidelijk te laten weten dat de organisatie de ontstane situatie serieus neemt en ontwikkelingen op de voet volgt. Een volgende tekst kan helpen bij het overbrengen van deze boodschap:

“We zijn bekend met de uitspraak van het Hof van Justitie van de EU van 16 juli 2020 2020 met implicaties voor de doorgifte van persoonsgegevens (link naar uitspraak). We zijn momenteel aan het onderzoeken hoe we dit het beste kunnen ondervangen. We hebben privacy zeer hoog in het vaandel staan en proberen er alles aan te doen om tot een passende oplossing te komen. Als we een passende oplossing hebben, zullen we je hierover informeren via deze privacyverklaring. Heb je vragen over de verwerking van jouw persoonsgegevens? Neem dan contact met ons op, via de contactgegevens in deze privacyverklaring.”

Het is uiteraard dan ook van belang dat er daadwerkelijk nagedacht wordt over de vervolgstappen die genomen dienen te worden. Een goede start hiermee kan gezet worden door eens goed na te denken over de overige acties uit deze actielijst.

Actie 2: check de afspraken met derden

In het geval er gebruik wordt gemaakt van derden om gegevens te verwerken, is het van belang om na te gaan of er sprake is van doorgifte. Het is daarom belangrijk om goed te letten op de volgende situaties:

  • Jouw organisatie werkt samen met derden die jouw (deels) gegevens verwerken binnen de Verenigde Staten.
    • In deze situatie is het belangrijk om te onderzoeken of het mogelijk is de verwerking te verplaatsen naar een locatie binnen de Europese Economische Ruimte (EER). Hierbij moeten voldoende waarborgen zijn dat er voor deze derden geen wettelijke verplichtingen zijn op basis waarvan Amerikaanse autoriteiten inzage kunnen krijgen in deze gegevens.
  • Jouw organisatie werkt samen met een derde die jouw gegevens (deels) laat verwerken binnen de Verenigde Staten door een sub-verwerker.
    • In deze situatie moet voorkomen worden dat door jou ingeschakelde derden gegevens (laten) verwerken in de Verenigde Staten zonder passend mechanisme voor doorgifte. Spreek deze derden hierop dus aan. Als verwerkingsverantwoordelijke ben je ook verantwoordelijk ten aanzien van de doorgifte van persoonsgegevens verderop in de keten. Het aanspreken van deze derden kan vaak al op basis van gemaakte afspraken in een verwerkersovereenkomst, waar afgesproken wordt op zoek te gaan naar een alternatief voor het Privacy Shield in het geval deze niet langer een passend mechanisme voor doorgifte blijkt te zijn.

Let op: in alle voornoemde situaties is het van belang om terughoudend te zijn met het overstappen op de zogenoemde Standard Contractual Clauses (SCC’s). Hoewel niet ongeldig verklaard door Schrems II, is de praktische werking ervan wel ernstig onder druk komen te staan en bieden ze zelden een passende oplossing voor doorgifte naar de VS. Meer weten hierover? Lees dan onze FAQ!

Actie 3: verwerk zoveel mogelijk binnen de EER

De belangrijkste vraag om te stellen is: kunnen we deze gegevens niet laten verwerken door een partij die niet (deels) in de Verenigde Staten persoonsgegevens verwerkt en/of een Amerikaanse moeder heeft met toegang tot de data. Hoewel er altijd uitzonderingen zijn, zijn er een legio aan goede alternatieven voor aanbieders van diensten in Amerika. De beste tip om voor nu en in de toekomst af te zijn van alle nadelen behorende bij internationale doorgifte van persoonsgegevens en bovendien een goede commerciële selling point!

Actie 4: let op richtlijnen en uitspraken van europese toezichthouders

In deze tijden van onzekerheid (‘hoe nu verder met doorgifte naar Amerika’) is er één ding extra belangrijk geworden, en dat de berichtgeving van de Autoriteit Persoonsgegevens en/of de EDPB. Hou dit dus goed in de gaten. Hoewel het onwaarschijnlijk lijkt dat toezichthouders direct rond gaan strooien met boetes voor organisaties die nog steeds gegevens doorgeven op basis van het reeds afgeschafte Privacy Shield, is het belangrijk om maatregelen te nemen n.a.v. de uitspraak. Dit begint bijvoorbeeld bij het doorlopen van deze actielijst, maar het houdt ook in dat je goed in de gaten moet houden wat deze autoriteiten nog over dit onderwerp zullen melden.

Gezien de oplossing voor het probleem m.b.t. de doorgifte er eentje is die hoogstwaarschijnlijk niet door het bedrijfsleven opgelepeld zal en kan worden, is de verwachting dat er een - al dan niet tijdelijke - workaround zal komen. Wanneer deze er is, zal de Autoriteit Persoonsgegevens en de EDPB hier ongetwijfeld over adviseren.

Lees meerLees minder

Welke diensten zijn geraakt?

Om deze vraag te beantwoorden, is het van belang om eerst uit te zoeken of jij persoonsgegevens doorgeeft aan ontvangers opererend in de Verenigde Staten. Daarbij moet de term ‘doorgeven’ ruim worden geïnterpreteerd. Ook het geven van toegang tot persoonsgegevens, het beschikbaar stellen ervan of het opslaan op servers in Amerika valt hieronder.

Een overzicht van de bedrijven die zijn geraakt, kun je opzoeken via de volgende link: https://www.privacyshield.gov/list.

Een overzicht van de meest in het oog springende partijen:

  • Cookieleveranciers zoals Hubspot, Google en Facebook
  • Techbedrijven zoals Apple en Amazon
  • Social mediabedrijven zoals Facebook, Pinterest, YouTube en LinkedIn
  • Cloudproviders zoals Microsoft en Dropbox
  • E-mailproviders zoals Gmail (onderdeel van Google), Outlook (onderdeel van Microsoft)
  • Webhostingbedrijven met datacenters in Amerika, zoals Rackspace

Welke diensten zijn niet geraakt?

Het doorgeven van persoonsgegevens aan een organisatie in de Verenigde Staten is niet problematisch als dit doorgifte betreft van jouw eigen gegevens, op jouw eigen verzoek. Je kunt dus nog gewoon je privé pagina op Facebook blijven gebruiken, en ook je gegevens opslaan in de Amerikaanse cloud; zo lang je hier zelf toestemming voor geeft. Ook in de zakelijke sfeer blijft doorgifte aan de Verenigde Staten in beperkte gevallen, waarbij je enkel jouw gegevens verwerkt, mogelijk. Denk bijvoorbeeld aan een ZZP-er die zijn eigen gegevens wenst op te slaan in Amerika.

De bovengenoemde doorgiftes zijn toegestaan onder de AVG, omdat deze plaatsvinden op basis van jouw toestemming. Let wel op, toestemming is slechts in beperkte gevallen werkbaar. Doorgifte op basis van toestemming van derden kan problematisch zijn, gezien toestemming altijd weer in te trekken moet zijn.

Wat te doen met cookies uit de VS?

De vraag is ten eerste of je überhaupt nog cookies kan gebruiken van Amerikaanse partijen, waarmee gegevens worden opgeslagen in de Verenigde Staten? Een kort en praktisch antwoord is: ‘nee’. Je stuurt immers persoonsgegevens naar een bedrijf in de VS zonder passende waarborgen. De meest verstandige optie blijft om een Europese partij in te schakelen.

Conclusie: doorgifte middels het gebruik van ‘Amerikaanse cookies’ die persoonsgegevens verwerken is niet langer toegestaan. Expliciet toestemming vragen voor deze doorgifte in cookiebanners is geen passende oplossing gezien deze verwerking niet incidenteel is. Moet je dan helemaal stoppen met deze cookies? Als je voor nu en in de toekomst goed wil zitten wel. De verwachting is echter niet dat iedere Europese gebruiker nu op de bon geslingerd gaat worden. Wel is het essentieel om goed te luisteren naar raad en advies van Europese privacy toezichthouders m.b.t. dit onderwerp, en deze raad en advies op te volgen.

Wat betekent dit voor bijvoorbeeld het gebruik van anti-spammaatregelen, Google Analytics en/of het gebruik van tracking mogelijkheden middels Facebook pixels en LinkedIn pixels voor advertentiedoeleinden?

Het gebruik van alle maatregelen, cookies, pixels, scripts en overige waarbij persoonsgegevens verzameld en mogelijk verwerkt in de Verenigde Staten geldt: dit is niet langer mogelijk op basis van de Schrems II uitspraak. Ook expliciet toestemming vragen voor de verstrekking van persoonsgegevens aan partijen in de Verenigde Staten is geen optie, zoals we hierboven lazen.

Is er een oplossing? De meest verstandige optie blijft om een Europese partij in te schakelen. Niet alleen ben je op deze manier van alle problemen af, ook verhoogt dit mogelijk het vertrouwen van bijvoorbeeld website bezoekers en zorgt dit hiermee voor een betere conversie.

Kom je in de problemen als je gewoon gebruik blijft maken van deze Amerikaanse leveranciers? De verwachting is niet dat je direct in de problemen komt. Wel is het van belang om je actief op te stellen en meewerkend te zijn op het moment dat de Europese toezichthouders passende alternatieven aanbieden.

Hoe zit het met (dochter)-ondernemingen gevestigd in de EU?

Opletten geblazen! Ook al verwerkt een Amerikaans rechtspersoon zijn data binnen de EU, dan nog kan het misgaan. De CLOUD Act vereist immers dat Amerikaanse organisaties een deurtje openlaten voor veiligheidsdiensten uit de VS (CLOUD Act? Lees verderop meer hierover). Hoewel die entiteit hiermee zijn verplichtingen onder de AVG overtreedt is het zeer moeilijk om te controleren of deze praktijken plaatsvinden. Conclusie: wil je aan de veilige kant blijven? Dan dient er gestopt te worden met de verwerking door deze partij.

Een dochterbedrijf naar Nederlands recht die haar gegevens opslaat op een server hier in Nederland? Dat is een ander verhaal. Deze dochter is op basis van de AVG namelijk verplicht om de gegevens hier te laten. Bovendien is er op deze dochter geen Amerikaans recht van toepassing. Dit gezien ze zowel geografisch in Europa zit en als dat ze de gegevens verwerkt binnen de EU. Conclusie: geen CLOUD Act of andere openstaande deuren voor de Amerikaanse veiligheidsdiensten. De verwerking van persoonsgegevens is veilig.

Veel basisscholen maken gebruik van de maildiensten van of Google of Microsoft. Mag dit?

Om er zeker van te zijn dat je de gegevens mag laten verwerken door een dergelijke dienst is het essentieel om ervoor te zorgen dat er gecontracteerd wordt met de Europese dochters van deze bedrijven en dat de opslag van de gegevens uitsluitend wordt verzorgd vanuit de Europese Unie.

Is dit niet het geval, of is dit onduidelijk én heb je zicht op een passend Europees alternatief, dan heeft overstappen gelet op de regels omtrent de verwerking van persoonsgegevens de voorkeur.

Verwachten wij dat scholen direct beboet zullen worden als ze gebruik blijven maken van deze dienstverlening? Zo’n vaart zal het waarschijnlijk niet lopen, maar wees je er wel van bewust dat het op basis van de Schrems II uitspraak eigenlijk niet meer is toegestaan. Blijf dus alert voor uitspraken van Europese privacy toezichthouders en volg adviezen en bevelen van hen op.

Lees meerLees minder

Kunnen we nog steeds gebruik maken van SCC’s voor de doorgifte naar niet-adequate landen buiten de EER?

In de AVG worden de SCC’s genoemd als apart mechanisme voor doorgifte, en de uitspraak heeft niet geleid tot de ongeldigheid van de SCC’s. Máár, let op: de uitspraak heeft nogmaals duidelijk gemaakt dat gebruik van de SCC’s alleen een optie is als de partijen die deze sluiten, zich ervan kunnen verzekeren dat de gegevens veilig zijn. Bijvoorbeeld tegen ongeautoriseerde inzage door autoriteiten. Valt de ontvangende organisatie onder de Amerikaanse wetgeving FISA (zoals alle ICT-providers), dan houdt het daar al voor je op. Immers, Amerikaanse inlichtingen- en veiligheidsdiensten moeten dan toegang kunnen hebben tot de gegevens van deze organisatie. In dat geval dien je als organisatie een stokje te steken voor de doorgifte. De SCC’s zijn dan niet langer een passend alternatief. Conclusie: doorgifte naar de Verenigde Staten is slechts in beperkte gevallen nog werkbaar.

Is artikel 49 AVG niet een passende optie voor mijn doorgifte van persoonsgegevens aan Amerika.

Een kort antwoord is: waarschijnlijk niet. De richtlijnen ten aanzien van een beroep op dit artikel leggen het gebruik ervan beperkt uit. Enkel voor incidentele doorgifte is een beroep op artikel 49 een optie. Bij zo’n beroep moet gedacht worden aan expliciete toestemming voor de doorgifte. Ook kan de doorgifte toelaatbaar zijn in het geval het noodzakelijk is om een overeenkomst te kunnen sluiten (als je via een derde een hotelboeking in Amerika doet).

Conclusie: het is dus in weinig gevallen een goede werkbare optie. Eens te meer omdat in de situaties van gegeven toestemming, deze net zo gauw weer ingetrokken kan worden. Het is dus geen passende optie voor de langere termijn.

Lees meerLees minder

Speelt de CLOUD ACT nog een rol bij deze uitspraak?

Organisaties uit de Verenigde Staten hebben al met de AVG van doen als ze persoonsgegevens verwerken van Europese burgers. Aangezien gigantisch veel organisaties in de Verenigde Staten ook persoonsgegevens verwerken van mensen in Europa, zullen zij dus ook moeten voldoen aan de regels die in de AVG zijn opgenomen. Daarnaast is er natuurlijk ook iets als Amerikaanse wetgeving waaraan voldaan moet worden. Een voorbeeld van deze wetgeving is de CLOUD ACT.

Sinds 23 maart 2018 is deze ‘Clarifying Lawful Use of Overseas Data Act’ van toepassing in de Verenigde Staten. Amerikaanse providers van elektronische communicatiediensten worden door deze CLOUD Act verplicht om gegevens die buiten de VS worden verwerkt, te bewaren en te verstrekken wanneer de Amerikaanse overheid hierom verzoekt. Zonder rechterlijke toetsing en ongeacht de geografische locatie van deze data. Een aardig ingrijpend stukje wetgeving dus, dat nou niet bepaald overloopt van privacy waarborgen.

Organisaties die aan zowel de AVG als de CLOUD Act dienen te voldoen kunnen door deze twee afzonderlijke verplichtingen aardig in een spagaat terecht komen. Het verstrekken van gegevens onder de CLOUD Act levert namelijk een directe schending op van artikel 48 AVG. Dit omdat deze informatie-uitwisseling niet plaatsvindt in lijn met de genoemde voorwaarden. De verstrekking van informatie onder de CLOUD Act vindt namelijk niet plaats op basis van een verdrag of soortgelijke afspraken tussen de EU en de VS.

Mogelijk gevolg? Een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaarlijkse omzet.

Kunnen we een boete krijgen als we niks doen?

Feitelijk gezien wel. Het Europees Hof heeft in haar uitspraak aangegeven dat verwerkingsverantwoordelijken wel degelijk de plicht hebben om te handelen naar aanleiding van deze uitspraak. Dit houdt strikt genomen in dat er gestopt dient te worden met de doorgifte van persoonsgegevens aan de Verenigde Staten op basis van het Privacy Shield of wanneer overige passende waarborgen ontbreken.

Er bestaat dus geen overgangsperiode om te kunnen handelen n.a.v. de nieuwe realiteit van deze uitspraak. Daarbij kunnen boetes voor doorgiftes die niet in lijn zijn met de AVG oplopen tot wel 20 miljoen euro of 4% van de wereldwijde omzet. Toch is het niet de verwachting dat toezichthouders direct aan deze noodrem zullen trekken bij organisaties. Wel is het belangrijk dat organisaties laten zien dat ze bekend zijn met de uitspraak en dat passende acties ondernomen worden om met de gevolgen ervan om te kunnen gaan.

Benieuwd naar wat voor acties dit zouden kunnen zijn? Kijk hiervoor naar de actielijst die is opgenomen in deze nieuwsbrief.

Lees meerLees minder

Hoe is Schrems II tot stand gekomen?

Maximilian Schrems is een Oostenrijkse privacyactivist, die van mening was dat de regels uit de AVG onvoldoende nageleefd zouden kunnen worden in de Verenigde Staten. Schrems zijn klacht zag specifiek op de, volgens hem illegale, doorgifte van zijn persoonsgegevens naar Facebook Inc. in de VS. Dit terwijl hij zelf woonachtig was in Europa. Een door Schrems ingediende klacht is uiteindelijk via prejudiciële vragen van de Ierse High Court terecht gekomen bij het Europese Hof van Justitie. De Ierse rechter vroeg daarbij niet alleen aan het Hof of het EU-US Privacy Shield geldig was, maar ook of het gebruik van door de Europese Commissie vastgestelde standaardbepalingen inzake gegevensbescherming (SCC’s) wel leiden tot een toegestane doorgifte van persoonsgegevens van de EU naar de VS. (Kort antwoord: nee).

Wat besloot het Europese Hof van Justitie?

Het Hof van Justitie van de Europese Unie heeft met haar uitspraak het EU-VS Privacy Shield ongeldig verklaard. Dat betekent dat organisaties in de EU geen persoonsgegevens meer aan organisaties opererend in de VS kunnen doorgeven op grond van het Privacy Shield. Volgens het Hof bieden SCC’s daarentegen nog wel een geldige grondslag voor doorgifte van gegevens naar de VS.

Let op: dit betekent niet dat het gebruik van de SCC’s direct een passend alternatief oplevert voor het het Privacy Shield. (meer hierover lees je bij ‘Q: Kunnen we nog steeds gebruik maken van SCC’s voor de doorgifte naar niet-adequate landen buiten de EER?”).

Waarom hebben de VS geen passend beschermingsniveau?

Het Hof vindt dat er een beschermingsniveau moet worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door de AVG. Over heel de VS genomen bestaat er geen gelijkwaardig niveau van bescherming van persoonsgegevens, vergeleken met het niveau in de EU, waar de AVG van toepassing is. Zo heeft bepaalde Amerikaanse wetgeving praktisch tot gevolg dat de Amerikaanse inlichtingen- en veiligheidsdiensten het recht hebben om gegevens van EU-burgers in te zien en te gebruiken (het Hof verwijst in overweging 180 naar afdeling 702 van de Foreign Intelligence Surveillance Act, ook wel FISA). In de praktijk betekent dit dat de Amerikaanse inlichtingen- en veiligheidsdiensten ongericht en op grote schaal gegevens van EU-burgers mogen verwerken. Iets wat regelrecht ingaat tegen de regels neergelegd in de AVG.

Wat voor gevolgen heeft deze uitspraak?

De uitspraak heeft grote gevolgen voor de doorgifte van persoonsgegevens naar de VS. Het deel van deze doorgifte van persoonsgegevens dat plaatsvindt op grond van het Privacy Shield is niet meer rechtmatig. Deze doorgiften zijn vanaf nu in strijd met de AVG en kunnen in potentie leiden tot substantiële boetes, aldus ook het Europees Hof van Justitie in zijn uitspraak. Het is dan ook belangrijk om te weten of jouw organisatie persoonsgegevens deelt met organisaties in de VS en op welk mechanisme deze doorgifte gebaseerd wordt. Indien doorgifte op basis van Privacy Shield plaatsvindt, moet er gestopt worden met deze doorgifte, of een alternatief instrument worden aangewend voor de doorgifte.

Lees meerLees minder

Tijdelijk extra ondersteuning nodig?

Is uw organisatie tijdelijk op zoek naar juridische ondersteuning op het gebied van privacy? Neem dan vrijblijvend contact op met ICTRecht. 

Neem contact op

Benieuwd naar de mogelijkheden voor uw organisatie?

Laat een bericht achter via het formulier: een van onze adviseurs neemt dan vrijblijvend contact met u op. Liever even bellen? Dat kan via telefoonnummer: 020 663 1941.

Wanneer u een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend telefonisch of digitaal kennismakingsgesprek.

Laat uw gegevens achter