Op 16 juli deed het Europese Hof van Justitie uitspraak in de zogenoemde ‘Schrems II’-zaak. De Oostenrijkse advocaat Max Schrems diende bij de Ierse Autoriteit Persoonsgegevens een klacht in tegen Facebook, dat zijn persoonsgegevens doorgeeft naar de VS. De bescherming van persoonsgegevens van EU-burgers die in datacenters in de VS worden opgeslagen en verwerkt, zou volgens Schrems niet gewaarborgd zijn in het Privacy Shield-verdrag uit 2016. Het Hof is het met de privacy-activist eens en oordeelde dat het Privacy Shield-verdrag ongeldig is. Wat betekent dit voor overheidsinstanties die gebruik maken van de online diensten van Microsoft?
Van Safe Harbor naar Privacy Shield naar…?
Het is niet voor het eerst dat het Europese Hof zich buigt over de zorgen van Schrems. In 2015 diende hij een soortgelijke klacht in over Safe Harbor, het destijds geldende verdrag voor data-uitwisseling tussen de EU en de VS. Het Hof verklaarde dit verdrag ongeldig en dat leidde tot nieuwe afspraken in 2016, Privacy Shield genaamd. Naast de richtlijnen van Safe Harbor voorzag Privacy Shield in nieuwe, striktere maatregelen voor de bescherming van persoonsgegevens van EU-burgers.
Volgens Schrems werden zijn rechten als EU-burger echter ook door Privacy Shield niet voldoende afgeschermd. Hij diende opnieuw een klacht in bij de Ierse toezichthouder, die de zaak wederom voorlegde aan het Europese Hof. Het Hof oordeelde dat de VS niet de noodzakelijke beperkingen en maatregelen instellen om de toegang en het gebruik door overheidsinstanties te voorkomen.
Hierdoor biedt het Privacy Shield-verdrag niet “in grote lijnen” hetzelfde beschermingsniveau in de VS als de GDPR in de EU, terwijl het dat wel vereist. Dit leidde tot het besluit van het Hof dat het Privacy Shield-verdrag ongeldig is.
Modelcontractbepalingen
De uitspraak is heel recent en de volledige beoordeling van de impact vindt nog plaats. De Europese Commissie moet bepalen of met de Verenigde Staten wordt onderhandeld over een nieuw verdrag. In de tussentijd kunnen bedrijven en overheidsinstanties terugvallen op een alternatief mechanisme dat het Hof wel in stand heeft gelaten: de Modelcontractbepalingen tussen afnemers en leveranciers. Dit betekent echter dat verwerkingsverantwoordelijken met elke afzonderlijke leverancier afspraken moeten vastleggen die voldoende privacybescherming bieden. Met het Privacy Shield gebeurde dit automatisch.
Het Hof wijst er ook op dat voor deze beoordelingen dezelfde criteria gelden als die hebben geleid tot ongeldigverklaring van het Privacy Shield. Deze criteria zijn beschreven in Artikel 45 van de AVG en hebben onder meer betrekking op de wetgeving van het betreffende land over toegang door overheidsinstanties tot gegevens en het instellen van een onafhankelijke toezichthouder.
Het Hof verklaarde echter dat de VS niet aan deze criteria voldoen. Aangezien de beoordeling van Modelcontractbepalingen moet plaatsvinden op basis van dezelfde criteria, kan dat steeds leiden tot de conclusie dat de Modelcontractbepalingen onvoldoende waarborgen geven voor de bescherming van persoonsgegevens in de VS.
SLM Microsoft Rijk
De uitspraak heeft ook gevolgen voor Nederlandse overheidsorganisaties die diensten afnemen of producten gebruiken van Microsoft, met name als deze een online component hebben (online diensten). Download hier voor de reactie van SLM Microsoft Rijk op de uitspraak.
SLM Microsoft Rijk monitort deze situatie continu en zal, indien nodig, nadere communicatie en adviezen publiceren.
Update november 2020: Het Europees Comité voor gegevensbescherming (European Data Protection Board, EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. De EDPB wil het bedrijfsleven hiermee meer duidelijkheid geven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde.