Gebruik je een niet-EU verwerker? Welke gevolgen heeft het arrest 'Schrems II'?

Privacy

Sportclubs

Sportfederaties

Op 16 juli 2020 vernietigde het Europese Hof van Justitie de zogenoemde 'Privacy Shield'-overeenkomst tussen de EU en de VS. De uitspraak (het arrest 'Schrems II') brengt heel wat onzekerheid. In de praktijk heeft het ook gevolgen voor je sportfederatie of sportclub, als je gebruikmaakt van Amerikaanse IT-diensten (zoals Google, Mailchimp,...).

De Oostenrijkse advocaat en privacy-activist Maximiliaan Schrems verzet zich al langer tegen het onrechtmatig doorgeven van persoonsgegevens aan landen buiten de EU.

Doorgifte van persoonsgegevens

De GDPR-regelgeving bepaalt de voorwaarden wanneer je persoonsgegevens mag doorgeven naar landen buiten de EU. Daarin zijn verschillende opties voorzien. De 2 belangrijkste bespreken we voor jou hieronder:

Adequaatheidsbesluit: Doorgeven van persoonsgegevens is mogelijk indien de EU besloten heeft dat het betrokken land een passend beschermingsniveau heeft. Dat land wordt dan toegevoegd aan de landen met een adequaatheidsbesluit, eventueel met bijkomende voorschriften of beperkingen.
Standard Contractual Clauses of SCC’s: Een contract zorgt voor passende waarborgen bij het doorgeven van persoonsgegevens. Een vaste set van clausules, de SCC’s, wordt dan toegevoegd.

Privacy Shield

Bedrijven in de VS voldoen aan het adequaatheidsbesluit tussen EU en VS, op voorwaarde dat ze ook het 'Privacy Shield' respecteren. Dat Privacy Shield kwam er als reactie op het arrest 'Schrems I' uit 2015, dat het toenmalige 'Safe Harbour'-principe voor persoonsgegevens met de VS ongeldig verklaarde.

In het arrest Schrems II van 2020 wordt nu ook het Privacy Shield ongeldig verklaard. Het Europese Hof heeft in het arrest een analyse gemaakt van het rechtstelsel van de VS om na te gaan of dat, samen met de Privacy Shield-voorschriften voldoende waarborgen biedt. In het bijzonder werd de wetgeving met betrekking tot de bevoegdheden van de inlichtingendiensten bekeken (Cloud Act, FISA en andere).

Volgens het Europese Hof bevat deze wetgeving te weinig beperkingen voor deze diensten en beperkt ze daarnaast ook de rechten en vrijheden van niet-Amerikaanse burgers.

Om die reden wordt niet voldaan aan de vereisten voor een passend beschermingsniveau en verklaarde het Hof het Privacy Shield ongeldig. Daardoor is de VS sinds juli 2020 niet langer opgenomen in de lijst van landen met een adequaatheidsbesluit.

Bieden de SCC’s dan een alternatief?

Het Europese Hof heeft in hetzelfde arrest aangegeven dat de SCC’s niet per definitie een passend beschermingsniveau geven. Daarbovenop moet het beschermingsniveau van een land, geval per geval, beoordeeld worden.

Sinds kort zijn online enkele templates beschikbaar voor het uitvoeren van deze beoordeling: Transfer Impact Assessment Templates (iapp.org)

Daarnaast zijn grote bedrijven, zoals Microsoft, bezig met het uitwerken van een GDPR-proof serviceaanbod. Dit zal het makkelijker maken te voldoen aan de GDPR richtlijnen bij gebruik van deze diensten.

Wat betekent dat nu concreet?

Schrems II heeft directe en verregaande gevolgen. Is het doorgeven van persoonsgegevens naar de VS (of andere derde landen) nog wel mogelijk? Door het arrest wordt het moeilijker om met zekerheid te zeggen dat alles in orde voor je organisatie.

Bedrijven in de VS verwijzen nog dikwijls naar het Privacy Shield om hun GDPR-beleid te verdedigen, maar in de overeenkomsten staan meestal al de SCC’s opgenomen. Ze zwijgen wel over de controle van het beschermingsniveau van hun land, omdat ze beseffen dat dat de zwakke schakel is in de samenwerking.

Voor de meeste IT-diensten kan je ondertussen vrij eenvoudig een Europees alternatief vinden. Daarom adviseren we je om zoveel mogelijk gebruik te maken van leveranciers uit Europa. Die keuze geeft het minste kopzorgen om in orde te zijn met de privacyregels. Dienstverleners uit landen die beschikken over een adequaatheidsbesluit zijn gelijkaardig aan Europese spelers. De regels rond verwerkingsovereenkomst blijven natuurlijk gelden. Er werd een handig lijstje opgemaakt van gecontroleerde spelers op de Europese markt: Dasprive Tooltip en Dasprive Business Tooltip

Kies je toch voor een partner in de VS? Zorg dan dat de SCC’s zeker zijn opgenomen in je overeenkomst en documenteer in je verwerkingsregister welke argumenten doorslaggevend waren om toch voor die partner te kiezen. Dit kan via een DTIA (Data Transfer Impact Assessment).

Sinds kort zijn enkele templates beschikbaar voor het beoordelen van het risico: Transfer Impact Assessment Templates (iapp.org).

Wij hebben een zo eenvoudig mogelijke versie van zo'n risico-inschatting voorzien in een DTIA-tool. Je kan deze vinden in ons stappenplan GDPR onder de stap Relaties met derden.

De laatste updates over dit dossier kan je vinden op de website van de Gegevensbeschermingsauthoriteit.

Een lijst van Europese alternatieven voor Amerikaanse tools:

En hoe zit het met de Brexit?

Geeft je als organisatie in de Europese Unie (EU) persoonsgegevens door aan organisaties/leveranciers in het Verenigd Koninkrijk (VK)? Dan kan je dat blijven doen zoals je gewend bent. Ook al maakt het VK geen deel meer uit van de EU. De Brexit heeft dus geen gevolgen voor de doorgifte van gegevens van de EU naar het VK. Dat heeft de Europese Commissie (EC) op 28 juni 2021 besloten.

Vanaf 1 januari 2021 tot 28 juni 2021 gold een overgangsperiode. In deze periode kon je ook gegevens doorgeven aan het VK zoals je gewend was. En dat blijft dus zo.

Adequaatheidsbesluiten VK

De EC heeft adequaatheidsbesluiten genomen voor het VK. Daarmee oordeelt de EC dat het niveau van bescherming van persoonsgegevens in het VK gelijkwaardig is aan dat in de EU.

Dat betekent dat je vrij gegevens kunt uitwisselen met het VK. Je hoeft geen extra doorgifte-procedures te gebruiken (zoals een modelcontract), wat u normaal nodig zou hebben voor doorgifte naar een land buiten de EU.

Vergeet echter niet aan te geven in je privacy notice dat je gegevens buiten de EU verwerkt. Je kan daarbij vermelden dat het gaat om de VK, waarbij een adequaatheidsbesluit deze uitwisseling mogelijk maakt.

Kijk voor meer informatie ook op de website van de Britse privacytoezichthouder.

Begin april 2022 werd tijdens een persconferentie van Joe Biden en Ursula von der Leyen aangekondigd dat gewerkt wordt aan een oplossing voor gegevensuitwisseling tussen EU en VS. Hou er echter rekening mee dat dit nog lang zou kunnen duren. Zo waarschuwt ook de EDPB (Europese privacytoezichthouder). Ook Max Schrems, die 2 maal een proces won bij het EHJ (Europees Hof van Justitie), gaf aan dat hij een nieuw proces opstart als de nieuwe regeling niet in lijn is met de wetgeving.

Ga er dus niet van uit dat de uitwisseling van gegevens binnenkort terug zonder beperkingen kan uitgevoerd worden.

Meer lezen?