Privacy basics: Doorgifte persoonsgegevens aan derde landen

2 maart 2021 / in Nieuws / door Paul Dam en Prasanna Kali

Dit artikel is relevant voor: iedere organisatie die persoonsgegevens doorgeeft aan een land buiten de Europese Economische Ruimte (EER). Denk aan doorgiftes aan bekende verwerkers zoals Microsoft, Google en AWS of buitenlandse autoriteiten, maar ook aan doorgiftes binnen concerns die vestigingen buiten de EER hebben.

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven aan een land buiten de Europese Economische Ruimte (EER) – een zogenoemd derde land – mag daarom alleen als dat land voldoende bescherming biedt. Voor verstrekking van persoonsgegevens aan een land binnen de EER gelden in beginsel geen aanvullende regels ten opzichte van verstrekking binnen Nederland.[1] Sinds de Schrems II-uitspraak moet met nieuwe aspecten rekening gehouden worden bij de doorgifte aan derde landen.

Dit artikel is bedoeld als een praktische handreiking. Eerst schetsen we kort en praktisch het juridisch kader. Daarna gaan we in op enkele veelvoorkomende situaties.

Verstrekkingen binnen de EER
In elk land binnen de EER is de Algemene verordening gegevensbescherming (AVG) van toepassing. Daardoor is in beginsel binnen de EER het niveau van gegevensbescherming gelijk en gelden geen aanvullende vereisten bij het verstrekken van persoonsgegevens tussen landen binnen de EER. Indien een buitenlandse organisatie een vestiging heeft in de EER en vanwege de activiteiten van die vestiging persoonsgegevens verwerkt, is de AVG van toepassing. Dit is zelfs het geval wanneer die verwerking feitelijk buiten de EER plaatsvindt (art. 3, lid 1, AVG).

Doorgiften aan landen buiten de EER
Indien je persoonsgegevens doorgeeft aan derde landen gelden aanvullende vereisten. De Raad van Europa heeft naar aanleiding van de eerste vormen van gegevensbeschermingsrecht (zoals het Hessisches Datenschutzgesetz uit 1970) vastgesteld dat strenge gegevensbescherming leidt tot ontwijking van die regelgeving door persoonsgegevens in een ander land te verwerken, waar minderstrenge regels gelden.[2] Zo zijn bedrijven binnen het werkingsgebied minder af (door marktwerking) en genieten subjecten uiteindelijk minder bescherming. Het systeem van de AVG rond doorgiften aan derde landen moet dit voorkomen.

Niet in alle gevallen waarin persoonsgegevens in een derde land terechtkomen is sprake van een ‘doorgifte’, zoals:

  • het door een verwerkingsverantwoordelijke plaatsen van persoonsgegevens op een internetpagina die (uiteraard) ook opvraagbaar is vanuit een derde land,[3] en

een betrokkene verstrekt zijn of haar gegevens aan een partij in een derde land, zonder dat daarbij sprake is van het aanbieden van goederen of diensten aan deze betrokkene (art. 3, lid 2, onder a, AVG) en zonder dat dit gebeurt in het kader van de activiteiten van die partij binnen de EER (art. 3, lid 1, AVG).

Het is toegestaan om gegevens door te geven aan een derde land als de Europese Commissie een adequaatheidsbesluit heeft genomen voor dat land. Als zo’n besluit er niet is moet aan ten minste één van de volgende eisen zijn voldaan:

·        Uitdrukkelijke toestemming De betrokkene geeft uitdrukkelijke toestemming.
·        Standaardcontractbepalingen
(Standard Contractual Clauses; SCC)		 De ontvanger is met de verstrekker van de persoonsgegevens standaardcontractbepalingen overeengekomen.
·        Bindende bedrijfsvoorschriften
(Binding Corporate Rules; BCR)		 De toezichthouder heeft de BCR’s goedgekeurd die juridisch bindend zijn voor de organisaties binnen een concern.
·        Juridisch bindende regeling Een juridisch bindende regeling tussen de ontvanger en de verstrekker, met goedkeuring van de toezichthouder. Voor een regeling tussen overheidsorganisaties is geen goedkeuring nodig.
·        Uitzonderingen Zwaarwegend algemeen belang of vitale belangen, noodzakelijkheid voor de uitvoering van een overeenkomst, rechtsvorderingen en publieke registers.

Uitdrukkelijke toestemming
Een betrokkene dient ongedwongen toestemming te kunnen geven voor doorgifte. Indien weigering voor hem of haar negatieve gevolgen zal hebben, is de toestemming niet vrij gegeven en daarmee ongeldig.[4] De betrokkene moet eerst zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden, aangezien passende waarborgen of adequaatheidsbesluiten niet van toepassing zijn (art. 49, lid 1, sub a, AVG). Verder dien je de identiteit van de verwerkingsverantwoordelijke, de betreffende gegevens, het doel van de doorgifte en dientengevolge de verwerking te delen met de betrokkene.

De betrokkene moet in geval van overeenkomsten de afweging kunnen maken of verwerking (als gevolg van doorgifte van de betreffende persoonsgegevens) nodig is voor de uitvoering van de overeenkomst (art. 7, lid 4, AVG). Deze afweging kan gedwongen zijn als de overeenkomst niet kan worden uitgevoerd bij weigering van toestemming, waardoor de toestemming dus ongeldig is.[5]

De toestemming moet, middels een ondubbelzinnige actieve handeling, gericht zijn op een specifieke verwerking van persoonsgegevens (art. 7, lid 2, AVG). Je kunt hierbij denken aan een schriftelijke en mondelinge handeling. Wanneer je gegevens doorstuurt naar een verwerker in de VS kun je bijvoorbeeld gebruikmaken van een pop-up. Hierin vermeld je vervolgens dat (deze specifieke) gegevens worden gedeeld met een verwerker in de VS en geef je de betrokkene de keuze om hier akkoord mee te gaan of dit te weigeren middels het aanvinken van een vakje. Daarnaast dien je duidelijk te maken dat de betrokkene altijd het recht heeft om zijn toestemming in te trekken.

Als verwerkingsverantwoordelijke moet je kunnen bewijzen dat er uitdrukkelijke toestemming is gegeven (art. 7, lid 1, AVG). De toestemming kan niet gebruikt worden voor activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun openbare bevoegdheden (art. 49, lid 3, AVG).

Adequaatheidsbesluiten
Doorgifte van persoonsgegevens aan een derde land kan plaatsvinden wanneer de Europese Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig en zijn ook geen aanvullende maatregelen nodig (art. 45, lid 1, AVG). Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de rechtsstatelijkheid, de effectiviteit van onafhankelijke toezichthoudende autoriteiten en internationale toezeggingen.

De volgende derde landen hebben een adequaat beschermingsniveau:

Momenteel bereidt de Europese Commissie een adequaatheidsbesluit voor met betrekking tot Zuid-Korea, waarmee dit land toegevoegd zal worden aan de bovenstaande lijst.

Standaardcontractbepalingen
Indien geen sprake is van een passend beschermingsniveau kun je zelf passende waarborgen treffen en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen laten beschikken. Hierdoor zorg je dat het beschermingsniveau overeenkomt met het niveau binnen de EER (art. 46, lid 1, AVG).  Zo kun je gebruik maken van standaardcontractbepalingen. Hiermee worden passende waarborgen voor verwerking buiten de EER contractueel vastgelegd tussen de partij binnen de EER en de partij daarbuiten.

Je kunt gebruikmaken van de volgende modelcontracten:

  • een contract van de Europese Commissie dat je kunt gebruiken voor doorgifte tussen twee verwerkingsverantwoordelijken (art. 46, lid 2, sub c, AVG),
  • een modelcontract dat je kunt gebruiken voor doorgifte van een verantwoordelijke gevestigd binnen de EU naar een verwerker in een derde land. Het gaat dus om een verwerker in een derde land die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt, en
  • een alternatief modelcontract, opgesteld door het bedrijfsleven, dat je kunt gebruiken voor de doorgifte tussen twee verwerkingsverantwoordelijken (art. 46, lid 2, sub d, AVG).

Indien je de bovenstaande modelcontracten wijzigt of aanvult, dien je toestemming te vragen aan de Autoriteit Persoonsgegevens voor gebruik van de contracten.

De Europese Commissie heeft op 12 november 2020 een conceptversie van nieuwe standaardcontractbepalingen gepubliceerd. Hierdoor zal de doorgifte tussen een ontvangende verwerker buiten de EER en een sub-verwerker buiten de EER middels SCC’s mogelijk worden. Zo zal je modelcontracten dus kunnen raadplegen op basis van de relatie tussen de partijen. Dit is met de huidige SCC’s nog niet mogelijk, aangezien een ontvangende verwerker buiten de EER niet zelfstandig een sub-verwerker buiten de EER kan contracteren. Er dient een SCC afgesloten te worden tussen de verstrekker binnen de EER en sub-verwerker daarbuiten. Over het algemeen zijn de European Data Protection Board en de European Data Protection Supervisor van mening dat de ontwerp-SCC’s een verhoogd beschermingsniveau bieden voor betrokkenen, maar moet niet gedacht worden dat het beschermingsniveau van de vernieuwde SCC’s op zichzelf al genoeg zijn. Als organisatie heb je namelijk nog steeds de verantwoordelijkheid om rekening te houden met onder andere de wetgeving van derde landen.

Bindende bedrijfsvoorschriften
Bindende bedrijfsvoorschriften zijn handig voor ondernemingen/concerns die regelmatig gegevens uitwisselen met (dochter-)ondernemingen buiten de EER zonder adequaatheidsbesluit. BCR’s vallen ook onder passende waarborgen die het beschermingsniveau op peil houden. Deze zijn van toepassing op alle ondernemingen binnen een concern, met inbegrip van hun werknemers (art. 46, lid 2, sub b, AVG jo. art. 47, AVG). Dit zijn voorschriften waarin organisaties waarborgen vastleggen voor bescherming van persoonsgegevens. Deze BCR’s dien je vooraf eerst goed te laten keuren door een bevoegde toezichthouder in de EU, zoals de Autoriteit Persoonsgegevens. Voor interne verwerkers buiten de EER zijn nog steeds interne verwerkersovereenkomsten noodzakelijk. Deze lijken veel op de inhoud van SCC’s. Denk aan ICT-functies buiten de EER, zoals in India of de VS.

Bindende bedrijfsvoorschriften van de ABN-AMRO Bank N.V. en Royal Philips Electronics zijn bijvoorbeeld goedgekeurd. In deze voorschriften zie je onder andere de grondslagen voor verwerking en doorgifte van persoonsgegevens naar landen zonder een adequaat beschermingsniveau.

Houd er rekening mee dat het goedkeuringsproces veel tijd in beslag zal nemen. Je kunt denken aan een wachttijd van 3 tot 5 jaar, zonder rekening te houden met de vertraging door de Brexit.[6]

Juridisch bindende regeling
Een juridisch bindende regeling zorgt voor passende waarborgen, mits deze regeling is goedgekeurd door een toezichthouder (art. 46, lid 3, AVG). Je kunt denken aan een contractbepaling tussen de verwerkingsverantwoordelijke/verwerker en de verwerkingsverantwoordelijke/verwerker/ontvanger van de persoonsgegevens in het derde land. De overeenkomst moet afdwingbare en effectieve rechten van betrokkenen waarborgen (art. 46, lid 1, AVG). De regeling moet de te verstrekken gegevens specificeren en de verwerking moet adequaat en relevant zijn. Bovendien mag de doorgifte en verwerking niet verder gaan dan het doel hiervan. Voor een regeling tussen overheidsorganisaties is geen goedkeuring nodig.

Uitzonderingen
Indien je geen gebruik kan maken van een adequaatheidsbesluit of passende waarborgen kan de doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land slechts plaatsvinden mits je aan één van de volgende voorwaarden voldoet:

  • De doorgifte is nodig om een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke uit te voeren of bij al genomen precontractuele maatregelen. Dit kan ook van belang zijn voor sluiting of uitvoering van een overeenkomst tussen de verwerkingsverantwoordelijke en een rechtspersoon (art. 49, lid 1, sub c, AVG). Deze uitzondering is alleen van toepassing als de doorgifte occasioneel of noodzakelijk is en kan niet gebruikt worden bij activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun openbare bevoegdheden. Er is sprake van noodzakelijkheid als een nauwe verbinding bestaat tussen de gegevensoverdracht en doeleinden van het contract (art. 49, lid 1, sub b, AVG).
  • De doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang. Enkel openbare belangen die zijn erkend bij een Unierechtelijke of nationaalrechtelijke bepaling zijn van toepassing voor deze bepaling (art. 49, lid 4 jo. lid 1, sub d, AVG). Internationale gegevenswisseling tussen diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld in geval van opsporing van contacten in het kader van de bestrijding van besmettelijke ziekten is hier een voorbeeld van.
  • De doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering (art. 49, lid 1, sub e, AVG). Dit is bijvoorbeeld het geval als een verdachte uit een derde land gegevens wil laten doorgeven voor het verkrijgen van een vermindering of kwijtschelding van een wettelijk voorziene boete.
  • De doorgifte is noodzakelijk voor de bescherming van vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven (art. 49, lid 1, sub f, AVG). Deze bepaling is bijvoorbeeld van toepassing wanneer gegevens worden doorgegeven in het geval van een medische noodsituatie.

De doorgifte wordt verricht vanuit een register dat volgens het Unierecht of lidstatelijk recht is bedoeld om het publiek voor te lichten. Voorbeelden zijn (grond)aankoopregisters of openbare voertuigregisters. Iedere persoon die zich op een gerechtvaardigd belang beroept, kan deze gegevens op verzoek raadplegen (art. 49, lid 1, sub g, AVG). Doorgifte vanuit zo’n register mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens. Particuliere registers (die onder de verantwoordelijkheid van particuliere instanties vallen) vallen buiten het toepassingsgebied van deze uitzondering. Zo vallen particuliere registers waarin kredietwaardigheid wordt getaxeerd hier niet onder.

Ontwikkelingen Schrems II
De Schrems II-uitspraak gaat over doorgifte van persoonsgegevens door Facebook naar de Verenigde Staten.[7] Het EU-VS Privacy Shield is ongeldig verklaard. Dit waren afspraken tussen de EU en de VS op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS. Het besluit is genomen door de hoogste Europese rechter, aangezien de VS privacyrechten van Europeanen niet voldoende beschermt. Problematisch is dat EU-burgers geen mogelijkheid hebben om naar de rechter te stappen als zij denken dat hun gegevens onrechtmatig door de Amerikaanse overheid worden verwerkt. De Amerikaanse overheid heeft deze bevoegdheden op grond van Amerikaanse wetgeving. Veiligheidsdiensten in de VS hebben ruime toegang tot de gegevens. Dit betekent dat doorgifte voortaan op een andere basis moet plaatsvinden (passende waarborgen of afwijkingen op grond van artikel 49, AVG) en/of met toepassing van bijvoorbeeld encryptie. Het is echter de vraag of met juridische instrumenten de mogelijkheden van de Amerikaanse overheid om kennis te nemen van de gegevens, beperkt kunnen worden.

Casus
Als reactie op de Schrems II- uitspraak hebben belangengroeperingen de rechter van de Conseil d’Etat gevraagd het Health Data Hub-platform met spoed op te schorten.[8] De Health Data Hub is opgericht om het delen van gezondheidsgegevens ter ondersteuning van onderzoek te vergemakkelijken. De rechter merkt op dat persoonsgegevens die in Nederland worden gehost in het kader van een contract met Microsoft niet legaal buiten de Europese Unie kunnen worden overgedragen. Hoewel het risico niet volledig kan worden uitgesloten dat de Amerikaanse inlichtingendiensten toegang tot deze gepseudonimiseerde gegevens zullen aanvragen, rechtvaardigt het op zeer korte termijn niet de opschorting van het platform. Het vereist speciale voorzorgsmaatregelen, onder toezicht van de CNIL (Franse privacytoezichthouder). Er wordt vanwege de coronacrisis een beroep gedaan op een zwaarwegend algemeen belang (art. 49, lid 1, sub d, AVG). Dit beroep zou onder normale omstandigheden niet slagen, waaruit blijkt dat zelfs een aanvullende maatregel zoals pseudonimisering soms niet wordt geaccepteerd.

Aanbevelingen
Als dus geen sprake is van een adequaatheidsbesluit, dien je je eigen belangen goed af te wegen. Elke passende waarborg heeft iets waar je rekening mee moet houden. Zo lost het gebruik van SCC’s de problematiek rondom doorgifte aan de VS niet helemaal op. De Amerikaanse overheid kan deze gegevens namelijk nog steeds onrechtmatig inzien/verwerken, waardoor afwegingen maken tot gebruik hiervan belangrijk is. Daarnaast kunnen burgers zich maar in zeer beperkte mate beroepen op hun rechten en hebben Amerikaanse rechters beperkte bevoegdheden op dit gebied. De Schrems-II uitspraak maakt dus duidelijk dat je je goed moet inlezen in de wetgeving van een derde land, aangezien een SCC of BCR de onrechtmatige handelingen niet voorkomen. Wat de nieuwe SCC’s betreft is het nog even afwachten. De ontwerp-SCC’s en onderhandelingen zijn namelijk nog niet afgerond, waardoor het verstandig is om hier nog niet op te anticiperen.

De BCR’s kunnen een handig instrument zijn, maar goedkeuring door een toezichthouder kent een lange wachttijd en voor interne verwerkers buiten de EER zijn nog steeds verwerkersovereenkomsten noodzakelijk. Voor het ondertekenen van een BCR’s moet je de voorschriften en wetgeving dus goed bestuderen. Zo kom je niet voor verrassingen te staan in situaties zoals aansprakelijkheid bij overtreding van voorschriften. Vaak werken organisaties samen met concerns die vervolgens BCR’s sluiten met hun ondernemingen in derden landen zoals India. Het is naar aanleiding van de Schrems-II inzichten echter verstandiger om in zee te gaan met een Europees bedrijf.

Om hulp te bieden bij veilige doorgifte van persoonsgegevens aan derde landen heeft de EDPB aanbevelingen opgesteld. Hierin worden verschillende maatregelen genoemd die een aanvulling zijn op de passende waarborgen. Als organisatie blijf je verantwoordelijk voor de persoonsgegevens dus is het cruciaal om de aanbevelingen regelmatig toe te passen. De EDPB deelt het volgende:

  1. Het is van belang om het verwerkingsregister bij te houden.
  1. Je moet bepalen welke opties voor doorgifte van toepassing kunnen zijn:
    • Uitdrukkelijke toestemming
    • Adequaatheidsbesluit
    • Standaardcontractbepalingen
    • Bindende bedrijfsvoorschriften
    • Juridisch bindende regeling
  1. Het controleren van de lokale wetgeving is noodzakelijk. Zo kun je bepalen of het land passende waarborgen heeft (indien geen sprake is van een adequaatheidsbesluit of uitdrukkelijke toestemming) en beoordelen of betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Deze beoordeling moet te allen tijde worden gemaakt en uitvoerig worden gedocumenteerd.
  1. Indien er een negatieve beoordeling is, dien je aanvullende maatregelen toe te passen die nodig zijn om het niveau overeenkomstig de EU-norm te krijgen. Je kunt bijvoorbeeld gebruik maken van encryptie en pseudonimisering.
  1. Mochten aanvullende maatregelen ontoereikend zijn dan is artikel 49 AVG wellicht het laatste redmiddel.
  1. Voor bepaalde aanvullende maatregelen is toestemming van de Autoriteit Persoonsgegevens vereist.

Door het maken van goede afwegingen en het in achtnemen van deze aanbevelingen zullen doorgiftes dus op een veilige manier verlopen.

Voetnoten

[1] Bij de EER horen alle EU-lidstaten, Liechtenstein, Noorwegen en IJsland. Derde landen zijn dus alle landen buiten de EER.
[2] Zie art. 12, lid 2, Convention 108 (versie 1981), tegenwoordig art. 14, lid 1, Convention 108.
[3] HvJ EU 6 november 2003, C-101/01, NJ 2004/248 (Lindqvist), r.o. 69-71.
[4] EDPB, Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679, mei 2020, p. 8.
[5] EDPB, Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679, mei 2020, p. 12.
[6] Kamerstukken II 2018–2019, 32761, nr. 149, p. 2.
[7] HvJ EU 16 juli 2020, C-311/18 (Schrems II).
[8] Conseil d’Etat (Frankrijk) 13 oktober 2020, N° 444937 (Health Data Hub).