Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie (‘Hof’) geoordeeld dat het Privacy Shield niet aan de Algemene Verordening Gegevensbescherming (‘AVG’) voldoet. Dit is belangrijk nieuws voor organisaties die de doorgifte van persoonsgegevens aan organisaties in de VS momenteel nog op het Privacy Shield baseren. Die doorgifte voldoet sinds deze uitspraak niet langer aan de wet. Wat is het Privacy Shield en wat regelt het precies? Hoe is het Hof tot dit oordeel gekomen? En wat heeft dit voor een praktische gevolgen? 

Hoe zat het ook alweer? 

Met de komst van de AVG zijn de regels rondom de verwerking en bescherming van persoonsgegevens binnen de Europese Unie (‘EU’) verder geharmoniseerd. Dit betekent dat het voor het uitwisselen van persoonsgegevens niet uit zou moeten maken of een organisatie in Nederland is gevestigd of in een ander land van de EU. Buiten de EU voldoet de privacywetgeving vaak niet aan de Europese standaarden. De doorgifte van persoonsgegevens aan partijen buiten de EU is daarom in beginsel niet toegestaan. In de AVG zijn hierover regels opgenomen. Hieruit volgt dat de doorgifte van persoonsgegevens naar (organisaties in) landen buiten de EU alleen is toegestaan als:

• er een adequaatheidsbesluit van kracht is;

Dat wil zeggen dat de Europese Commissie heeft besloten dat een internationale organisatie of (bepaalde sectoren van) een land een passend beschermingsniveau waarborgen. Ook het Privacy Shield valt hieronder. In besluit 2016/1250 heeft de Europese Commissie besloten dat de VS een adequaat beschermingsniveau biedt. Een belangrijke voorwaarde daarbij is wel dat organisaties gecertificeerd moeten zijn onder het Privacy Shield voordat de doorgifte is – en inmiddels was – toegestaan.

• gebruik wordt gemaakt van de EU Standard Contractual Clauses (ook wel modelcontracten genoemd);

Deze modelcontracten zijn vastgesteld door de Europese Commissie, die van oordeel is dat de bepalingen in deze contracten voldoende waarborgen bieden voor de bescherming van de gegevens die internationaal worden doorgegeven. Het Hof heeft zich ook uitgelaten over de geldigheid van deze modelcontracten, waarover hieronder meer.

• er bindende bedrijfsvoorschriften zijn opgesteld;

Door organisaties kunnen er interne bindende bedrijfsvoorschriften (‘binding corporate rules’) worden opgesteld om de verspreiding van persoonsgegevens binnen de eigen organisatie te legitimeren. Deze voorschriften kunnen alleen worden gebruikt als grond voor de doorgifte als er sprake is van verkeer van persoonsgegevens binnen hetzelfde concern of een groepering van ondernemingen.

• er sprake is van een specifieke situatie die is opgenomen in artikel 49 AVG.

De meest bekende situatie die in deze bepaling is opgenomen, betreft het geval waarin de betrokkene zijn of haar uitdrukkelijke toestemming heeft gegeven voor de doorgifte. Ook hierover later meer.

Aanloop naar de rechtszaak

Maximilian Schrems (‘Schrems’), een bekende privacy activist uit Oostenrijk, is de aanjager van deze rechtszaak geweest. Dit betreft zijn tweede overwinning op Facebook. In 2015 bewerkstelligde hij namelijk al dat het Safe Harbor verdrag (min of meer de voorloper van het Privacy Shield) ongeldig werd verklaard door het Hof. Facebook besloot daarop om de zogeheten modelcontracten te gaan gebruiken als grondslag voor de doorgifte van persoonsgegevens van gebruikers.

Naar aanleiding van de nietigverklaring van het Safe Harbor verdrag, herformuleerde Schrems zijn eerdere klacht bij de Ierse toezichthouder. Schrems had de Ierse privacy toezichthouder namelijk verzocht om op te treden tegen Facebook, omdat hij meende dat zijn persoonsgegevens door Facebook Ierland onterecht werden doorgegeven aan Facebook Inc. (gevestigd in de VS). Het beschermingsniveau in de VS is in de ogen van Schrems namelijk niet voldoende. Na die herformulering meende de Ierse privacytoezichthouder dat de behandeling van de klacht van Schrems vooral afhankelijk was van de geldigheid van de modelcontracten.

De Ierse toezichthouder richtte zich tot de Ierse High Court met het oog op de voorlegging van prejudiciële vragen aan het Hof. Hierop werden aan het Hof diverse vragen gesteld over de geldigheid van de modelcontracten. Daarnaast werd ook een vraag gesteld over geldigheid van het Privacy Shield, omdat Facebook inmiddels ook gecertificeerd was onder dat regime.

Oordeel van het hof

Privacy Shield ongeldig

De beslissing van het Hof is inmiddels bekend, waardoor er een streep is gezet door het Privacy Shield. Samengevat is het Hof van oordeel dat het Privacy Shield er niet voor zorgt dat het beschermingsniveau van de doorgegeven persoonsgegevens voldoende overeenkomt met het beschermingsniveau in de EU. Hierbij wordt er met name gewezen op de Amerikaanse surveillanceprogramma’s waarbij grote hoeveelheden gegevens worden verwerkt. Ook gegevens van Europese burgers.

Het Hof meent dat dit verder gaat dan strikt noodzakelijk, terwijl dat op grond van de AVG niet is toegestaan. Er gelden weliswaar eisen die door de Amerikaanse autoriteiten moeten worden nageleefd bij de uitvoering van surveillanceprogramma’s, maar Europese burgers kunnen geen rechtszaak aanspannen tegen de Amerikaanse autoriteiten als zij vinden dat hun gegevens onrechtmatig worden verwerkt. Dit wordt niet voldoende recht getrokken door het Ombudsmanmechanisme dat door de Europese Commissie is ingesteld, onder meer omdat de Ombudsman niet bevoegd is om besluiten te nemen die bindend zijn voor de Amerikaanse inlichtingendiensten. Het Hof verklaart het adequaatheidsbesluit over het Privacy Shield dan ook ongeldig.

Modelcontract geldig

Tegelijkertijd is het Hof van oordeel dat het modelcontract wel een geldig mechanisme kan zijn voor de doorgifte van persoonsgegevens aan landen buiten de EU. Dit oordeel heeft specifiek betrekking op het modelcontract dat is opgesteld voor een verwerkingsverantwoordelijke en een verwerker. Hoewel het Hof zich niet specifiek heeft uitgelaten over de modelcontracten die zijn opgesteld voor de internationale doorgifte tussen twee verwerkingsverantwoordelijken, zijn in de uitspraak wel aanwijzingen te vinden dat ook de geldigheid daarvan overeind blijft.

Daarbij heeft het Hof niet alleen gekeken naar de inhoud van de bepalingen zelf, maar ook naar het rechtstelsel van het land waaraan de gegevens worden doorgegeven. Het Hof meent dat de modelcontracten een beschermingsniveau bieden dat in grote lijnen gelijk is aan het beschermingsniveau in de EU, onder andere omdat in de contracten in voldoende mate is gewaarborgd dat de doorgifte van persoonsgegevens wordt opgeschort of verboden ingeval die contracten worden geschonden of onmogelijk kunnen worden nageleefd.

In dit verband herinnert het Hof eraan dat de gegevensexporteur en de ontvanger verplicht zijn om vóór elke doorgifte na te gaan of het beschermingsniveau in het betrokken land wordt geëerbiedigd. Ook staat in het contract dat de ontvanger de gegevensexporteur op de hoogte moet stellen als hij niet in staat is om het modelcontract na te leven. Als de verwerking van persoonsgegevens in dergelijke situaties toch wordt voortgezet, dan kunnen de nationale privacy toezichthouders de doorgifte vervolgens verbieden. Het is de vraag in hoeverre dit voor doorgifte naar de VS daadwerkelijk een verschil maakt, maar het Hof vindt dit voldoende om het modelcontract in stand te laten.

Wat heeft de uitspraak voor een praktische gevolgen?

De uitspraak betekent dat het Privacy Shield geen rechtsgeldige basis meer is voor de doorgifte van persoonsgegevens aan organisaties in de VS. Organisaties die op basis hiervan nog gegevens uitwisselen met organisaties in de VS handelen kortom in strijd met de AVG. Dit roept de vraag op wat dan een alternatieve juridische grondslag voor de gegevensuitwisseling met de VS kan zijn.

Welke alternatieven zijn er dan?

Modelcontracten

Het sluiten van een modelcontract lijkt op het eerste gezicht een voor de hand liggend alternatief. De modelcontracten zijn eenvoudig te vinden op de website van de Europese Commissie. Partijen zijn slechts beperkt gerechtigd om wijzigingen toe te voegen aan deze contracten, waardoor er in de praktijk vaak relatief snel kan worden overgegaan tot ondertekening daarvan. Ruimte tot onderhandeling is er slechts beperkt en zeker voor de doorgifte aan de VS zijn er weinig alternatieven.

Hoewel uit de uitspraak van het Hof is gebleken dat het sluiten van een modelcontract weliswaar een geldig mechanisme blijft voor de doorgifte van persoonsgegevens, is het niet zeker dat de doorgifte van persoonsgegevens aan de VS hierop gebaseerd kan blijven of worden. Zoals hiervoor al aan de orde gekomen, is het namelijk aan de gegevensimporteur en exporteur om dit van geval tot geval te beoordelen. Dit zal vaak een uitgebreide analyse vergen, die bovendien ook nog eens goed gedocumenteerd zal moeten worden. Bij de analyse moet ook worden gekeken naar de toepasselijke wetgeving in een land (onder meer m.b.t. de openbare en nationale veiligheid), de eventuele toegang van overheidsinstanties tot de doorgegeven persoonsgegevens en het bestaan van afdwingbare rechten en doeltreffende rechtsmiddelen voor betrokkenen. Juist hier is het Hof erg kritisch over als het gaat om doorgifte aan de VS.

Gezien de huidige surveillancewetgeving is het kortom nog maar de vraag of de modelcontracten als grondslag gebruikt kunnen worden om een rechtsgeldige doorgifte van persoonsgegevens aan organisaties in de VS te bewerkstelligen. Dat is in elk geval zeer onwaarschijnlijk als de kans aanwezig is dat de ontvanger van de gegevens in de VS onder surveillance staat.

Overigens zijn de huidige modelcontracten sinds de komst van de AVG nog niet geactualiseerd. De Europese Commissie heeft in haar evaluatieverslag over de AVG wel aangegeven hiermee bezig te zijn, maar heeft zeer waarschijnlijk gewacht op deze uitspraak van het Hof. Niet bekend is wanneer de nieuwe versies van deze modelcontracten precies beschikbaar komen, maar duidelijk lijkt wel dat de huidige modelcontracten op termijn vervangen zullen worden. Zal de Europese Commissie daarin anticiperen op de bezwaren van het Hof tegen doorgifte aan de VS?

Bindende bedrijfsvoorschriften

Welke opties zijn er dan nog over? Concerns of groeperingen van ondernemingen die gezamenlijk een economische activiteit uitoefenen, zouden kunnen overwegen bindende bedrijfsvoorschriften op te gaan stellen voor de interne gegevensuitwisseling. Het vaststellen van zulke voorschriften is in de regel echter een langdurend traject. Bovendien zullen dergelijke voorschriften eerst ter goedkeuring aan de Autoriteit Persoonsgegevens moeten worden voorgelegd voordat zij geldig zijn. Dit is dan ook geen kortetermijnoplossing. Ook niet omdat de Autoriteit Persoonsgegevens weinig voortvarend met deze goedkeuringsprocedure lijkt om te gaan.

Specifieke situaties

Veel andere opties zijn er niet. Alleen de specifieke situaties die zijn opgenomen in artikel 49 van de AVG blijven over. Daarin staat onder meer dat doorgifte is toegestaan wanneer de betrokkene daar uitdrukkelijk mee heeft ingestemd, nadat hij is ingelicht over de risico’s die de doorgifte voor hem kan inhouden. Los van deze informatieverplichting, zal het vragen van toestemming in veel situaties geen reële optie zijn. Zeker niet wanneer organisaties gegevens van veel verschillende betrokkenen met partijen in de VS uitwisselen. Het is dan praktisch vaak niet mogelijk om iedereen apart om toestemming te gaan vragen. Bovendien kan eenmaal gegeven toestemming altijd weer worden ingetrokken. Daarnaast is het niet mogelijk om op rechtsgeldige wijze toestemming te verkrijgen van bepaalde categorieën van betrokkenen. Denk daarbij aan werknemers, waarvan wordt aangenomen dat zij in beginsel niet in staat zijn om vanwege de gezagsverhouding vrijelijk toestemming te geven aan hun werkgever.

Wanneer een doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en een organisatie (de verwerkingsverantwoordelijke) of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, is het mogelijk wel toegestaan om gegevens door te sturen aan landen buiten de EU (en dus ook de VS). Beide situaties zijn namelijk opgenomen in artikel 49 AVG. Andere voorbeelden van situaties zijn gevallen waarin de doorgifte van persoonsgegevens noodzakelijk is wegens gewichtige redenen van algemeen belang, voor de bescherming van de vitale belangen van de betrokkene of voor de uitoefening van een rechtsvordering.

Conclusie

Het is kortom niet onmogelijk geworden om gegevens door te geven aan organisaties in de VS, maar er zal veelal van geval tot geval beoordeeld moeten worden op welke grondslag die specifieke doorgifte gebaseerd kan worden. De vraag is of dit praktisch werkbaar is.

De ogen zijn nu dan ook vooral op de Europese wetgever gericht. Zal zij met een nieuwe oplossing komen om gegevensuitwisseling op grote schaal en gemakkelijke wijze met partijen in de VS mogelijk te maken? Of zal de VS onder politieke en economische druk haar surveillancewetgeving aanpassen?

In de tussentijd zullen organisaties veelal moeten verkennen of er mogelijkheden zijn om de internationale doorgifte aan de VS op een andere grondslag zoals hiervoor genoemd te baseren of dat zij de doorgifte tijdelijk of zelfs definitief stop kunnen en moeten zetten.