+31 88 1888150 | planning@jenz.nl
JenZ logo
Nieuws

Delen persoonsgegevens met VS, nog lang geen witte rook?

Delen van persoonsgegevens met de VS, nog lang geen witte rook?

Inge Brattinga
Inge Brattinga

Door Inge Brattinga, VRF Advocaten

Alle uitzenders/detacheerders/recruiters gebruiken software om hun processen te automatiseren maar bovenal om persoonsgegevens van medewerkers (uitzendkrachten) te verwerken. Het komt veelvuldig voor dat er gebruik wordt gemaakt van cloudsoftware waarbij de data niet opgeslagen wordt in de Europese Economische Ruimte (EER) maar bijvoorbeeld in de VS (Verenigde Staten).

Dit is op grond van de AVG (Algemene Verordening Gegevensbescherming) niet zomaar toegestaan. Je deelt dan persoonsgegevens met organisaties (softwareleverancier) buiten de EER en dat is een derde land ingevolge de AVG. De AVG heeft specifieke regels hoe hier mee om te gaan. Hoe dit werkt en welke regels hiervoor gelden ten aanzien van de VS maar ook in het algemeen, leg ik uit in onderstaand artikel.

Delen van persoonsgegevens met de VS
Het ongeldig verklaren van het EU-US Privacy Shield door het Hof van Justitie van de Europese in juli 2020, is inmiddels al geruime tijd geleden. Sindsdien is er van alles ondernomen en gebeurd, maar wat is de status nu? Mag u persoonsgegevens delen met de VS, zijnde een derde land zoals genoemd in de AVG of (nog) niet? Hierna schets ik de stand van zaken en geef een advies hoe te handelen.

De geschiedenis herhaalt zich
Hoe was het ook alweer? Er bestond een EU-US Privacy Shield, op grond waarvan persoonsgegevens gedeeld konden worden met de VS. Ja, dat kon, maar nu niet meer, want in juli 2020 heeft het Hof van Justitie van de Europese Unie in het Schrems II arrest bepaald, dat het adequaatheidsbesluit van de Europese Commissie ongeldig is. Op grond van dit adequaatheidsbesluit was het geoorloofd om – met inachtneming van de AVG – persoonsgegevens te delen met de VS.

Deze oplossing werd bekend onder de naam Privacy Shield. Het Privacy Shield was de opvolger van het Safe Harbor Verdrag dat eerder al door het Hof van Justitie van de Europese Unie ongeldig was verklaard. Helaas trof het Privacy Shield hetzelfde lot. De belangrijkste oorzaak van het ongeldig verklaren is het feit dat de VS ontoereikend kan aantonen dat er een voldoende beschermingsniveau is gegarandeerd voor de bescherming van de persoonsgegevens van EU ingezetenen die worden gedeeld met de VS.

Sinds juli 2020 wordt er achter en voor de schermen gewerkt aan een Trans-Atlantic Data Privacy Framework. Dat wordt een basis voor een nieuw adequaatheidsbesluit zodat op grond daarvan een veilige doorgifte van persoonsgegevens naar de VS kan plaatsvinden. Op 28 februari jl. heeft de European Data Protection Board (EDPB), de Europese toezichthouder op de AVG, de nodige zorgen geuit over het concept adequaatheidsbesluit Trans-Atlantic Data Privacy Framework. Dit zal er ongetwijfeld toe leiden dat het adequaatheidsbesluit, of het onderliggende EU-US Data Privacy Framework, aanpassingen zal moeten gaan krijgen. Er is dus voorlopig nog geen witte rook. Maar wat kan je dan wel doen in de tussentijd? Dat licht ik hierna toe.

Delen van persoonsgegevens met derde landen
Binnen de Europese Economische Ruimte (EER) is het toegestaan persoonsgegevens te delen. Artikel 44 AVG bepaalt dat de doorgifte van persoonsgegevens naar een derde land (dus geen EER land) alleen kan plaatsvinden als het derde land een passend beschermingsniveau waarborgt. Enerzijds kan dit vastgelegd worden in een zogenoemd adequaatheidsbesluit door de Europese Commissie, zoals het misschien toekomstige Trans-Atlantic Data Privacy Framework. Indien dit niet aanwezig is voor het land waar je persoonsgegevens aan door wilt geven, c.q. delen, moet je als verstrekker van deze persoonsgegevens (verwerkingsverantwoordelijke) in de Europese Unie aantonen dat de partij waar je gegevens aan doorgeeft in een derde land passende waarborgen biedt voor de bescherming van persoonsgegevens.

De Europese Commissie heeft hiervoor standard contractual clauses opgesteld die je hiervoor kunt gebruiken. Daarnaast kun je de doorgifte baseren op bindende bedrijfsvoorschriften. Dat laatste werkt bijvoorbeeld goed bij internationale organisaties. Het meest gebruikte mechanisme zijn de Standard Contractual Clauses (SCC) of in het Nederlands ‘Modelovereenkomst’. Deze vragen wel uitvoerige informatie om in te vullen en je moet als verwerkingsverantwoordelijke ook aantonen dat het niet alleen een papieren werkelijkheid is maar er ook daadwerkelijk voldoende waarborgen zijn. Geen sinecure!

Standard Contractual Clauses (SCC/Modelovereenkomst)
Hoe werkt het delen van persoonsgegevens van een derde land op basis van de standard contractual clauses (deze link leidt naar het standard contractual clauses model, zie de bijlage die volgt na het uitvoeringsbesluit) nu precies? De Europese Data Protection Board (EDPB) heeft aanbevelingen gedaan hoe je met de doorgifte naar derde landen om moet gaan. In deze aanbevelingen tref je een stappenplan aan:
Stap 1: Weet wat je doorgeeft. Zijn de persoonsgegevens noodzakelijk, passend etc.
Stap 2: Controleer welk doorgifte instrument je hanteert:
a. Adequaatheidsbesluit
b. Modelovereenkomst (standard contractual clauses)
c. Bindende bedrijfsvoorschriften (Binding corporate rules)
Stap 3: Beoordeel of er in het recht of de praktijk van het derde land iets is wat afbreuk doet aan de doeltreffendheid van de waarborgen van het doorgifte-instrument dat je gebruikt. Bijvoorbeeld dat overheidsinstanties te allen tijde persoonsgegevens op kunnen vragen en een bedrijf hier aan mee moet werken.
Stap 4: Bepaal aanvullende maatregelen en kom die overeen met de partij in het derde land.
Stap 5: Neem eventueel formele procedurele stappen. Als je afspraken maakt in strijd met de bepalingen in de modelovereenkomst moet een toezichthoudende autoriteit (in Nederland de Autoriteit Persoonsgegevens) worden geïnformeerd. Voor het gebruik van bindende bedrijfsvoorschriften is toestemming van de toezichthoudende autoriteit nodig. Deze bindende bedrijfsvoorschriften moeten worden voorgelegd aan de toezichthoudende autoriteit.
Stap 6: Toets regelmatig of hetgeen is afgesproken ook wordt nagekomen door de partij in het derde land. Bijvoorbeeld door middel van audits.
De Modelovereenkomsten zijn aangepast als gevolg van het ongeldig verklaren van het Privacy Shield. De overgangstermijn is inmiddels verstreken zodat iedereen de huidige versie van de modelovereenkomst moet hanteren.

Conclusie
Primair is het advies om geen persoonsgegevens door te geven c.q. te verwerken in andere landen dan de EER. Oftewel zoek een alternatief binnen de EER.
Mocht dit absoluut niet kunnen, gebruik dan een land waar een adequaatheidsbepaling mee is en alleen als dat ook absoluut niet kan, ga je met een partij in een derde land in zee en sluit je een overeenkomst op basis van de modelovereenkomst.

Lees ook
2022 – Wettelijke ontwikkelingen rondom persoonsgegevens (vervolg)
2022 – Wettelijke ontwikkelingen rondom persoonsgegevens
2016 – Akkoord privacy dataverkeer Europa en VS (na verlies Safe Harbor)
2015 – Overleg dataverdrag Safe Harbor – privacyrecht