Het Europese Hof van Justitie heeft het EU-VS Privacy Shield ongeldig verklaard. Dit heeft grote gevolgen voor het gebruik van diensten door SURF en zijn leden. Alleen door samen te werken kunnen we verder komen in dit complexe onderwerp. Dit doen we in de Taskforce Beyond Privacy Shield. Lees wat de Taskforce doet en hoe we te werk gaan.
Aanvullende maatregelen datadoorgiften naar de VS
Als er een rechtsgrond is voor doorgifte van persoonsgegevens naar een data-importeur in de VS, moet de data-exporteur vaststellen of er naast verplichtingen tussen data-exporteur en data-importeur, aanvullende maatregelen verplicht kunnen worden gesteld aan data-exporteur en/of -importeur. Hieronder vind je een handreiking voor deze maatregelen.
Context aanvullende maatregelen
Wanneer een organisatie binnen de Europese Economische Ruimte (EER) persoonsgegevens verstrekt of laat verwerken door een organisatie (‘data importeur’) in een land buiten EER, waarvoor geen adequaatheidsbesluit is afgegeven door de Europese Commissie, dient deze organisatie (‘data exporteur’) bij hantering van Standaard Contractbepalingen (SCC’s) als alternatief doorgiftemechanisme, sinds de Schrems II uitspraak van 16 juli 2020, zelf, voor elke specifieke verwerking, te beoordelen of de nationale wet- en regelgeving van dat derde land, waarin de betreffende data importeur is gevestigd, mogelijk de naleving van SCC’s in de weg staat, en daarmee dus of de SCC’s voor de betreffende specifieke verwerking, op zichzelf voldoende is om een gelijkwaardig gegevensbeschermingsniveau te bieden als de AVG.
De invulling van deze verplichting in de versie van de SCC’s van 4 juni 2021 maakt dat deze beoordeling gedocumenteerd (bepaling 14 onder d van de SCC’s van 4 juni 2021) dient te worden middels een zogenaamde Transfer Impact Assessment (TIA). Wanneer uit deze beoordeling blijkt dat ‘problematische’ nationale wet- en regelgeving van een derde land, de naleving van de SCC’s ‘in full and in practice’ in de weg staat, dient gekeken te worden of met aanvullende maatregelen het risico daarop in voldoende mate kan worden gemitigeerd om aldus alsnog een gelijkwaardig gegevensbeschermingsniveau als de AVG te kunnen garanderen.
Indien dit het geval is kunnen deze aanvullende maatregelen overeen worden gekomen bovenop de SCC’s, in de vorm van zogenaamde ‘additional measures’. Indien deze aanvullende maatregelen niet gevonden kunnen worden, of er tussen data importer en data exporter geen overeenkomst kan worden gesloten waarin deze additional measures zijn opgenomen, dan kan de doorgifte van persoonsgegevens van de organisatie binnen de EER (data exporter) niet naar de organisatie in het derde land (data importer) plaatsvinden op basis van het SCC mechanisme.
Voor een dergelijke risicovolle doorgifte van persoonsgegevens blijft dan, in de praktijk, voor onderwijs- en onderzoeksinstellingen gevestigd in Nederland, alleen nog het mechanisme over van de doorgifte op basis van expliciete toestemming van de betrokkenen, indien deze doorgifte geen structureel karakter heeft en deze toestemming geacht kan worden vrijelijk te worden gegeven door betrokkenen.
Concreet geldt, voor onderwijs- en onderzoeksinstellingen gevestigd in Nederland, dat zich drie situaties kunnen voordoen bij de inschatting of een organisatie, gevestigd in een derde land, redelijkerwijs geacht kan worden de verplichtingen uit de SCC’s na te leven (zie Zie: 43.1, 43.2 en 43.3, pg 17: EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (pdf). Version 2.0. Adopted on 18 June 2021):
- De wetgeving in het derde land voldoet formeel niet aan de EU-normen of de SCC’s kunnen duidelijk niet worden toegepast/nageleefd in de praktijk.
- Er ontbreekt wetgeving in het derde land en er zijn voorbeelden waaruit blijkt dat de praktijken in dat land onverenigbaar zijn met de verplichtingen uit de SCC’s. Overheidsinstanties zijn bijvoorbeeld ongebonden en met de nodige drukmiddelen wordt altijd toegang worden verkregen tot gegevens.
- De persoonsgegevens betrokken bij de doorgifte en/of de data importeur vallen of kunnen vallen binnen de reikwijdte van problematische wetgeving van het derde land (d.w.z. de wetgeving doet afbreuk aan de SCC’s en voldoet niet aan EU-normen inzake grondrechten, noodzaak en evenredigheid).
De instelling die de Aanbevelingen van de EDPB volgt, dient in de eerste twee gevallen altijd aanvullende maatregelen te nemen. In het derde geval kan door de instelling alsnog worden gekozen om door te gaan met de internationale verwerking op basis van het ‘AVG doorgifte mechanisme’: “SCC”, zonder aanvullende maatregelen, indien de instelling gedocumenteerd kan aantonen dat er, in alle redelijkheid, en op basis van publiek (zie: 43, pg 17: “Your assessment must be based first and foremost on legislation publicly available.”, EDPB,Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) beschikbare informatie over wetgeving in het betreffende derde land, geen reden is om aan te nemen dat de relevante ‘problematische wetgeving’ in de context van de betreffende doorgifte, van kracht zal zijn.
De derde situatie zal het meest van toepassing zijn voor de meeste SaaS diensten van aanbieders uit de VS. Bij deze diensten wordt dus de impact van de ‘problematische wetgeving’ FISA, Section 702 en Executive order 12333 beoordeeld op scope en te verwachten impact op de betreffende verwerking. Zonder het nemen van technische maatregelen zoals pseudonimisering en effectieve encryptie is er geen afdoende garantie tegen ongeautoriseerde toegang door Amerikaanse overheidsdiensten. Wanneer pseudonimisering en/of effectieve encryptie van de data echter geen werkbare oplossing biedt, kan met in achtneming van het risico, de aard, de omvang, de context en de verwerkingsdoeleinden, beoordeelt worden of genoemde problematische wetgeving daadwerkelijk een risico vormt voor de fundamentele rechten en vrijheden van betrokkenen. Daarbij kan rekening worden gehouden of de gegevensimporteur in het verleden verzoeken heeft ontvangen om toegang tot gegevens heeft ontvangen van het Amerikaanse overheidsinstanties of bevestigt nooit dergelijke verzoeken te hebben en dat het niet verboden is om informatie over dergelijke verzoeken te verstrekken.
Aanvullende maatregelen
De set van beschikbare aanvullende maatregelen is feitelijk vrij beperkt. De ICO onderscheidt de volgende maatregelen in hun ‘Draft International transfer risk assessment and tool.' Zie pg 26 e.v.: Table C: Types and levels of measures to supplement the IDTA safeguards. De ICO bespreekt in deze tabel de aanvullende maatregelen ten behoeve van het zogenaamde “International data transfer agreement’ (IDTA). De IDTA is een contract dat gebruikt kan worden in het VK bij een beperkte overdracht van persoonsgegevens naar een land buiten het VK. Zie hiertoe ook: Draft International data transfer agreement. August 2021. De hier weergegeven tekst is een vertaling, die voor het gemak en de leesbaarheid is vervaardigd, waaraan geen rechten ontleend kunnen worden. Alleen de originele ICO tekst is gezaghebbend.
Bij doorgifte van bijzondere persoonsgegevens is het risico altijd 'Hoog'.
Typen aanvullende maatregelen |
Risico: Laag |
Risico: Midden |
Risico: Hoog |
---|---|---|---|
Controle op toegang tot persoonsgegevens. |
Beveilig gegevens met een wachtwoord voorafgaand aan de doorgifte aan de importeur. Dit wachtwoord wordt alleen verstrekt aan de importeur wanneer deze meer doet dan alleen opslag van deze gegevens. |
Versleutel de gegevens voorafgaand aan de doorgifte aan de importeur met behulp van een geschikte encryptietechniek (d.w.z. encryptie van data in rust) en implementeer geschikte sleutel-beheerprocedures. |
Versleutel de gegevens voorafgaand aan de doorgifte met behulp van de juiste encryptie en verdeel de versleutelde datasets over meerdere partijen. |
Wijzigingen aanbrengen in persoonsgegevens. |
Beoordeel het doel en de omvang van de doorgifte van persoonsgegevens en minimaliseer de hoeveelheid persoonsgegevens in de doorgifte (dwz alleen bepaalde gegevens-velden), maar de gegevens zijn niet geanonimiseerd of gepseudonimiseerd. |
Pas pseudonimiseringstechnieken toe op de persoons-gegevens voorafgaand aan de doorgifte en geef de importeur geen toegang tot de aanvullende informatie zoals het sleutel-bestand, op basis waarvan re-identificatie kan plaatsvinden. |
Verdeel de doorgifte van gepseudonimiseerde datasets over meerdere organisaties, zodat er een minimaal risico is dat één van de partijen een betrokkene kan identificeren. Opmerking: Overweeg ook anonimiseringstechnieken. Als de gegevens effectief worden geanonimiseerd in de handen van een ontvanger, zodat het geen persoonlijke gegevens meer zijn, zijn de AVG-overdrachtsbeperkingen niet van toepassing |
Organisatorische maatregelen |
Zowel de data exporteur als de data importeur, bieden regelmatig trainingen aan voor hun medewerkers om zo het bewustzijn bij hen te vergroten met betrekking tot gegevensbescherming en informatiebeveiliging. |
De data importeur voert extra interne controles uit binnen de organisatie om er zeker van te zijn dat de ontvangen gegevens niet worden gedeeld met derden of met overheidsinstanties, op een manier die conflicteert met de wet- en regelgeving van het land waarin de data importeur is gevestigd, en met de interne processen van deze data importeur. De importeur handhaaft strikte wachtwoordprotocollen |
De data importeur ziet er op toe dat toegang tot de aan hem toevertrouwde persoonsgegevens strikt beperkt is tot bepaalde personen die op basis van hun rol toegang moeten hebben tot deze gegevens. Wanneer derden of personen zonder toegangsprivileges toegang tot gegevens nodig hebben, moeten deze een strikt protocol volgen voordat deze gegevens met een grotere groep worden gedeeld. De data importeur past een strikt beleid toe bij de beoordeling van verzoeken, of een gerechtelijke bevelen van overheidsorganisaties die toegang eisen tot persoonsgegevens. |
Contractuele maatregelen |
De data importeur borgt dat alleen toegang tot persoonsgegevens aan derden en overheidsinstanties wordt verleend, wanneer de data importeur daartoe wettelijk wordt gedwongen, en de data importeur eerst alle mogelijkheden om hiertegen in beroep te gaan, ten volle heeft benut. |
De data importeur kan voldoen aan een verzoek tot toegang tot persoonsgegevens van een derde of een overheidsinstantie, wanneer de legitieme belangen van de data importeur, de verzoekende partij en elke andere derde partij prevaleren boven de belangen of fundamentele vrijheden van de betrokkenen. De data importeur kan een verzoek van een derde partij of overheidsinstantie, inwilligen, indien een dergelijk verzoek, volgens de wetten en gebruiken in Nederland, rechtmatig zou zijn dan wel een hoger openbaar belang zou dienen. |
Als de data importeur een verzoek tot toegang tot persoonsgegevens ontvangt van een derde partij of overheidsinstantie, dan dient deze: - de data exporteur hiervan in kennis te stellen en aan deze een kopie van het verzoek te verstrekken; - de overheidsinstantie te verzoeken om dit verzoek tot toegang tot persoonsgegevens te richten aan de data exporteur zodat deze grip heeft op de openbaarmaking van deze gegevens; - indien van toepassing, de data exporteur in de gelegenheid te stellen om de betreffende doorgifte te staken of op te schorten; en - de geldigheid van het betreffende verzoek of bevelschrift aan te vechten en te eisen dat de betreffende overheidsinstantie de gevraagde informatie verkrijgt door samenwerking met andere overheidsinstanties in het betreffende rechtsgebied (dwz een alternatief mechanisme te gebruiken waardoor de gevraagde informatie toegankelijk wordt door legitieme uitwisseling van gegevens binnen de overheid). - De data importeur rapporteert maandelijks aan de data exporteur over het feit dat deze geen verzoeken, of bevelschriften heeft ontvangen met betrekking tot de door hem geïmporteerde persoonsgegevens. |
Ten slotte
De SURF Taskforce Beyond Privacy Shield gaat ervan uit dat Nederlandse onderwijs- en onderzoeksinstellingen en hun verwerkers reeds standaard technische en organisatorische maatregelen nemen om aan de algemene beginselen van informatiebeveiliging en privacybescherming te voldoen, conform de AVG. Denk aan de normen van de NEN27001. De nieuwe SCC’s vragen echter om een aanvullende beoordeling, namelijk of bovenop de standaard AVG waarborgen, aanvullende maatregelen noodzakelijk zijn, vanwege de doorgifte van persoonsgegevens naar een organisatie gevestigd in een derde land - voor wat de scope van de SURF Taskforce betreft: de VS.