Privacy Shield ongeldig verklaard

Het hing al een tijd in de lucht. Op donderdag 16 juli 2020 heeft het Europese Hof van Justitie geoordeeld dat het Amerikaanse ‘Privacy Shield’, een zelfcertificeringsprogramma voor Amerikaanse partijen die persoonsgegevens ontvangen van verantwoordelijken in de Europese Economische Ruimte (EER), niet geldig is.

Waar is Privacy Shield voor nodig?

In de Algemene Verordening Gegevensbescherming (AVG) staat een verbod om persoonsgegevens vanuit de EER door te geven naar een land buiten de EER waar geen passend beschermingsniveau is voor de persoonsgegevens. De Verenigde Staten is hier een voorbeeld van. Zij bieden als land niet een dergelijk beschermingsniveau omdat daar maar in zeer beperkte mate privacywetgeving is.

Dat probleem werd door de VS en de Europese Commissie opgelost door een soort veilige haven, Privacy Shield, voor de Europese persoonsgegevens te creëren. In deze veilige haven golden een aantal basisregels voor het verwerken van Europese persoonsgegevens. Amerikaanse partijen die Privacy Shield gecertificeerd zijn kunnen die persoonsgegevens daardoor wel ontvangen.

Privacy Shield ongeldig

Het Hof van Justitie heeft daar nu een streep door gezet.

Het Privacy Shield biedt namelijk geen bescherming tegen de surveillance programma’s van de Amerikaanse overheid. Deze gegevensverzameling acht het Hof disproportioneel en daarmee in strijd met de Europese grondrechten.

Daarnaast is er weliswaar een Privacy Shield Ombudsman, waar betrokkenen (de personen op wie de persoonsgegevens betrekking hebben) klachten kunnen indienen tegen verwerkingen door de Amerikaanse overheid, maar deze Ombudsman heeft niet de mogelijkheid beslissingen te nemen waar de Amerikaanse inlichtingendiensten zich aan moeten houden. Er is dus geen effectief middel voor betrokkenen om bezwaar te maken tegen de praktijken van de inlichtingendiensten.

Wat betekent dit voor de praktijk?

Veel Europese partijen maken gebruik van Amerikaanse leveranciers en online applicaties die gegevens opslaan in de VS. De vraag is dus nu of en zo ja, hoe ze toch gebruik kunnen blijven maken van die leveranciers.

Oplossing 1: De eerste oplossing is dat de Amerikaanse leverancier de gegevens niet in de VS opslaat maar in de EER.

Daarbij wordt wel de aantekening gemaakt dat de Europese toezichthouders het inzien vanuit een derde land ook als een doorgifte naar buiten de EER zien. Maar het is niet zeker of het Hof van Justitie daar ook zo over denkt. Om het zekere voor het onzekere te nemen zou de Amerikaanse leverancier de gegevens niet mogen inzien vanuit de VS.

Overigens biedt opslag in de EER niet per se bescherming tegen het opvragen door de Amerikaanse overheid – door de Cloud Act mag de overheid Amerikaanse partijen verzoeken gegevens van Europese burgers af te staan ongeacht de locatie waar die gegevens zijn opgeslagen. De Amerikaanse partijen hebben wel de mogelijkheid zich te verzetten tegen dergelijke verzoeken als zij van mening zijn dat dit in strijd is met de wetgeving in het land waar de gegevens zijn opgeslagen.

Oplossing 2: Een tweede mogelijke oplossing is dat er zogenaamde model contract bepalingen, in het Engels ‘Standard Contractual Clauses’ of ‘SCC’ worden gesloten met de Amerikaanse leverancier. Als deze SCC worden afgesloten, wordt daarmee in het algemeen aangenomen dat er door de ontvanger (de leverancier) een passend beschermingsniveau wordt geboden.

Maar, hier moet wel een slag om de arm worden gehouden.

Het Hof van Justitie heeft in deze uitspraak namelijk ook geoordeeld dat de SCC weliswaar geldig zijn, maar dat de verantwoordelijke eerst moet onderzoeken of in het betreffende land daadwerkelijk een passend beschermingsniveau wordt geboden. Als dat niet voldoende blijkt te zijn, moeten de partijen zelf zorgen voor extra passende waarborgen (maar niet wordt aangegeven wat die dan kunnen zijn). Het Hof acht dit kennelijk ook mogelijk ondanks het feit dat de overheid in het derde land niet aan de SCC gebonden is.

Daarnaast verplichten de SCC de ontvanger in het derde land de Europese verantwoordelijke te informeren als deze moet voldoen aan een verzoek van een overheidsinstantie in het derde land als gevolg waarvan het niet meer aan de SCC kan voldoen. In dat geval heeft de Europese verantwoordelijke de mogelijkheid de doorgifte te staken.

Verder geeft het Hof aan dat als de overheid in het derde land verzoeken doet die niet verder gaan dan wat noodzakelijk is, dit geen overtreding is van de SCC, maar als dat wel verder gaat, is dat het wel.

Hoe verhoudt dat zich tot de VS?

Voor de VS heeft het Hof nu juist geoordeeld dat de gegevensverzameling door de inlichtingendiensten niet proportioneel is (en dus verder gaat dan wat noodzakelijk is). Ten aanzien van Privacy Shield heeft het geoordeeld dat dit geen passende bescherming biedt omdat de betrokkene geen realistische mogelijkheid van bezwaar tegen de praktijken van de inlichtingendiensten heeft. Die mogelijkheid bieden de SCC ook niet.

Hoewel het Hof niet uitdrukkelijk zegt dat de SCC niet voor doorgifte naar de VS kunnen worden gebruikt, lijkt dat wel te volgen uit het oordeel over de Amerikaanse surveillance programma’s en Privacy Shield.

Daarnaast kunnen de SCC niet voor iedere soort doorgifte worden gebruikt omdat ze niet kunnen worden afgesloten tussen een verwerker in de EER en een (sub)verwerker in de VS. Onder Privacy Shield konden dat soort doorgiften wel plaatsvinden.

Oplossing 3: De persoonsgegevens mogen ook worden doorgegeven naar buiten de EER met toestemming van de betrokkene. Dit is in de regel geen praktische oplossing, want de betrokkene moet altijd vrij zijn om toestemming te weigeren en ook om de toestemming weer in te trekken. In die gevallen moeten de gegevens dus alsnog binnen de EER worden opgeslagen. Er ontstaan dan twee databases: een die met toestemming in de VS wordt opgeslagen en een die in de EER moet worden opgeslagen. De vraag is of dit een realistische oplossing is.

Zijn er andere oplossingen?

Het Hof geeft aan het einde van het arrest aan dat het niet geldig verklaren van Privacy Shield niet zal leiden tot een juridisch vacuüm omdat er ook nog andere mogelijkheden zijn om persoonsgegevens door te geven naar buiten de EER.

Voorbeelden daarvan zijn structurele doorgiften binnen een internationaal concern via zogenaamde bindende bedrijfsvoorschriften (Binding Corporate Rules) of doorgiften op basis van door lokale toezichthouders goedgekeurde contractbepalingen, gedragscodes of certificeringsmechanismen. Bij deze laatste drie moet de ontvanger in het derde land ook ‘bindende en afdwingbare toezeggingen’ doen om passende waarborgen, waaronder voor de rechten van de betrokkenen, toe te passen.

Los van het feit dat hiervoor uitgebreide procedures nodig zijn en ze dus geen directe oplossing bieden, blijft het probleem hierbij dat deze doorgiftemechanismen, ook niet met de bindende en afdwingbare toezeggingen van de ontvanger, in de VS geen bescherming bieden tegen de surveillance programma’s van de Amerikaanse overheid. Amerikaanse partijen zullen nu eenmaal moeten voldoen aan verzoeken van de Amerikaanse overheid om gegevens te verstrekken. Daarnaast is er voor de betrokkenen wiens gegevens uit de EER worden doorgezonden in de VS simpelweg niet een dergelijke bescherming. Daarvoor zou in feite nodig zijn dat de Amerikaanse overheid zelf rechtstreekse bescherming in het leven zou roepen voor betrokkenen met persoonsgegevens uit de EER. Dit lijkt echter niet erg waarschijnlijk.

Naast de hiervoor genoemde doorgiftemechanismen is het wel mogelijk om incidenteel gegevens door te geven, zoals wanneer dat noodzakelijk is om een overeenkomst met de betrokkene uit te voeren. Maar dit zijn geen oplossingen voor structurele doorgiften naar buiten de EER.

Het Hof lijkt Europese verantwoordelijken die structureel gebruik maken van Amerikaanse leveranciers dus met een kluitje in het riet te hebben gestuurd.

De conclusie?

De conclusie is dat de juridisch meest sluitende oplossing voor dit arrest is om de gegevens op te laten slaan in de EER.

Als alternatief zouden SCC’s kunnen worden afgesloten, met de wetenschap dat die mogelijk niet geldig zijn voor de VS.

Een ander alternatief is afwachten of de Europese Commissie en de VS met elkaar in conclaaf gaan over een vervanging van Privacy Shield. In de tussentijd vindt er dan strikt genomen een niet-toegestane doorgifte van persoonsgegevens plaats. Dit was ook het geval in de periode nadat de voorganger van Privacy Shield, Safe Harbor, in 2015 door het Hof ongeldig was verklaard.

De vraag is alleen of het de VS en de Europese Commissie zal lukken om een passend alternatief te vinden. Daarvoor is, zo te zien, in feite nodig dat de Amerikaanse inlichtingendiensten ofwel geen gegevens uit de EER mogen betrekken in hun surveillance programma’s ofwel dat de VS wettelijke bescherming tegen de inlichtingendiensten in het leven moet roepen voor betrokkenen met persoonsgegevens uit de EER.