In juli concludeerde het Europees Hof in de Scherms II-uitspraak dat de bescherming van persoonsgegevens in de Verenigde Staten ernstig tekortschiet, ondanks het zogenoemde Privacy Shield. Over de uitspraak zelf kunt u lezen in dit blog, over de opvolgende Q&A van de European Data Protection Board (EDPB) schreven wij dit blog. Deze ontwikkelingen houden de gemoederen flink bezig, nu doorgifte van persoonsgegevens aan niet-EU landen steeds uitdagender lijkt te worden.
De EDPB en de Europese Commissie (EC) zitten (gelukkig) niet stil. Deze week verschenen:
- Aanbevelingen voor aanvullende maatregelen bij het gebruik van ‘doorgifte-instrumenten’, waaronder modelcontracten.
- Een ontwerp van een uitvoeringsbesluit over modelcontractbepalingen vergezeld van (in concept) nieuwe modelcontractbepalingen.
Aanbevelingen bij gebruik van ‘doorgifte-instrumenten’
In haar Q&A kondigde de EDPB al aan dat zij op termijn zou komen met aanbevelingen voor aanvullende maatregelen die nodig zijn als doorgifte-instrumenten als modelcontractbepalingen (‘standard contractual clauses’) of bindende bedrijfsvoorschriften (‘binding corporate rules’) niet afdoende beschermingsniveau boden. Op 11 november was het moment daar en verschenen twee sets van aanbevelingen:
- Aanbevelingen voor de beoordeling door de gegevensexporteur van de voorgenomen doorgifte alsmede voor mogelijke aanvullende maatregelen.
- Aanbevelingen voor de beoordeling door de gegevensexporteur van het niveau van inmenging door overheden in derde landen teneinde te voorkomen dat die verder gaan dan nodig zijn.
Met name de eerste set aanbevelingen is interessant. Daarin biedt de EDPB biedt een stappenplan aan gegevensexporteurs om te bepalen of doorgifte naar een derde land mogelijk is, en welke aanvullende maatregelen voor die doorgifte genomen moeten worden.
Stap 1: Welke data gaan overgedragen worden?
Belangrijk is om als gegevensexporteur in kaart te brengen welke data zullen worden doorgegeven en aan welk derde land dat zal geschieden. Daarbij zijn de beginselen uit de AVG, zoals dataminimalisatie en doelbinding, van belang. De EDPB geeft aan dat voor deze stap het verwerkingsregister, zoals we ook voor nationale en Europese doorgiftes kennen, kan worden gebruikt.
Stap 2: Welk instrument voor de overdracht is geschikt?
Vervolgens dient de gegevensexporteur te onderzoeken of voor het specifieke derde land een adequaatheidsbesluit geldt op grond waarvan doorgifte geoorloofd is. Is dat niet het geval, dan dient voor de doorgifte een ander instrument gekozen te worden, zoals modelcontractbepalingen of binding corporate rules.
Stap 3: Beoordeel de wettelijke regeling van het derde land
Op het moment dat bij de doorgifte zal geschieden op basis van een doorgifte-instrument (in plaats van een adequaatheidsbesluit), zoals modelcontractbepalingen of binding corporate, dient de gegevensexporteur te onderzoeken of er in het derde land wet- of regelgeving bestaat die afbreuk doet aan het niveau van gegevensbescherming onder de AVG. Daarbij speelt met name (overheids)surveillance een belangrijke rol. De EDPB drukt hier stevig op de verplichting die de gegevensexporteur hier heeft: deze exercitie moet grondig gebeuren en ook gedocumenteerd worden.
Stap 4: Onvoldoende beschermingsniveau? Aanvullende beschermingsmaatregelen
Als uit het resultaat van stap 3 volgt dat het specifieke derde land onvoldoende niveau van bescherming biedt, dienen er aanvullende maatregelen genomen te worden. Daarbij geeft de EDPB een aantal voorbeelden, zoals het gebruik van encryptie en pseudonimisering van door te geven persoonsgegevens.
Stap 5: Procedurele stappen afhandelen
Zodra het juiste doorgifte-mechanisme is gekozen en bepaald is welke aanvullende beschermingsmaatregelen is het zaak de formaliteiten die gelden voor het gebruik van modelcontractbepalingen en binding corporate rules af uit artikel 46 AVG te handelen.
Stap 6: Evalueer de maatregelen regelmatig, samen met het derde land
Na het voltooien van stap 5 kan de doorgifte van persoonsgegevens aan het derde land aanvangen. Wel is het zaak dat gegevensexporteurs de ontwikkelingen bijhouden. Zij zijn immers steeds verantwoordelijk voor de doorgifte. Op het moment dat het beschermingsniveau niet langer gewaarborgd is, zal doorgifte gestaakt moeten worden.
De aanbevelingen van de EDPB staan momenteel open voor consultatie. Dat betekent dat er nog aanpassingen kunnen worden voorgesteld. Zodra de definitieve bepalingen worden aangenomen, zullen wij hier nader over berichten en deze ook onder de loep nemen.
Nieuwe modelcontractbepalingen (in concept)
De dag volgend op de voorgaande aanbevelingen, op 12 november 2020, publiceert de Europese Commissie een ontwerp van een uitvoeringsbesluit over modelcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen op grond van de AVG, samen met haar concept van nieuwe modelcontractbepalingen (‘standard contractual clauses’)
Deze nieuwe modelcontractbepalingen bevatten verschillende modules die door bedrijven kunnen worden gebruikt, afhankelijk van het overdrachtsscenario en de aanduiding van de partijen onder de AVG, namelijk:
- overdracht van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke,
- overdracht van verwerkingsverantwoordelijke naar verwerker;
- overdracht van verwerker naar verwerker; en
- overdracht van verwerker naar verwerkingsverantwoordelijke.
De nieuwe modelcontractbepalingen staan tot 10 december 2020 open voor consultatie. Het goedkeuringsproces voor de nieuwe modelcontractbepalingen vereist een advies van het Europees Comité voor gegevensbescherming en de positieve stemming van de EU-lidstaten. De definitieve modelcontractbepalingen zullen naar verwachting begin 2021 worden aangenomen.
Tot slot
Wij gaan op korte termijn alle gepubliceerde documentatie nader bestuderen en de impact van deze ontwikkelingen beoordelen. Wij houden u daarvan op de hoogte. Roept dit bij u nu al vragen op, neemt u dan gerust contact op.
Sven Wakker, advocaat privacyrecht
