Vandaag, 16 juli 2020, is het Privacy Shield ongeldig verklaard door het Hof van Justitie van de Europese Unie (zie persbericht). Dit is een opmerkelijke uitspraak, waarvan de gevolgen nog niet zijn te overzien. De Oostenrijker Max Schrems heeft ongeveer 5 jaar geleden ervoor gezorgd dat Safe Harbor (de voorganger van het Privacy Shield) ongeldig is verklaard. In deze ‘Schrems II’ zaak stelde Max Schrems dat er geen persoonsgegevens vanuit Facebook Ierland mochten worden doorgegeven aan Facebook van Mark Zuckenberg, dat is gevestigd in de Verenigde Staten, omdat zijn privacy daar niet gewaarborgd kan worden.
Privacy Shield door de mand gevallen
Privacy Shield is het raamwerk, waarmee tot nu toe dataverkeer tussen Europa en de Verenigde Staten juridisch werd geregeld. Veel grote Amerikaanse bedrijven zijn aangesloten bij het Privacy Shield, zoals Google en ook Mailchimp. Deze e-mailprovider wordt ook in Nederland veel gebruikt om e-mail nieuwsbrieven te versturen. Privacy Shield vormt daar vaak de juridische basis voor (wat in de AVG een verwerkingsovereenkomst heet, is door deze bedrijven veelal opgenomen als Data Processing Agreement waarin vervolgens dan verwezen wordt naar het Privacy Shield).
Persoonsgegevens mogen vanuit Europa alleen aan Amerikaanse partijen worden doorgegeven indien op een andere manier dan Privacy Shield een passend niveau van rechtsbescherming kan worden gewaarborgd.
Is het versturen van nieuwsbrieven via Mailchimp nu illegaal?
Op 24 juli 2020 gaf het Europees Comité voor gegevensbescherming (EDPB) via een FAQ op haar website aan, dat het verzenden van data via het Privacy Shield illegaal is en dat bedrijven onmiddellijk moeten handelen als ze dit doen. Als data verstuurd worden op een andere juridische grondslag (meestal gaat het dan om SCC’s, Standard Contractual Clauses), moeten bedrijven zelf onderzoeken of er voldoende waarborgen zijn om de privacy van EU-burgers te beschermen. Hoe pakt dit nu uit in de praktijk? Mailchimp geeft op de website aan dat de data worden opgeslagen in ‘data centers‘ in de Verenigde Staten en dat Mailchimp werkt onder de EU-U.S./Swiss-U.S. Privacy Shield Frameworks. In het Data Processing Addendum verwijst men echter naar de SCC’s die gelden wanneer de Privacy Shield certificering van Mailchimp niet van toepassing is. In een eigen verklaring wil Mailchimp hun klanten geruststellen, ook al geldt Privacy Shield niet meer: ‘it doesn’t affect the SCCs, which remain a valid data export mechanism’. Volgens de EDPB moeten we dus zelf onderzoeken of de SCC’s en het Data Processing Addendum van Mailchimp voldoende de privacy waarborgen conform de GDPR.
Standard Contractual Clauses
Hier vind je een (Engelstalig) achtergrondartikel over de SCC’s, geschreven vóór de ongeldigverklaring van Privacy Shield. Het maakt duidelijk dat je hoe dan ook moet voldoen aan de bepalingen in artikel 28 lid 3 van de GDPR (zie hier voor de volledige tekst van de GDPR). In dit blog van Arnoud Engelfriet schetst hij nog eens de achtergrond van de ‘Schrems II’ zaak, nadat hij heeft aangegeven waarom de SCC’s wel als rechtsgeldig zijn verklaard: er staat gewoon in dat je geen data naar Verenigde Staten mag sturen zodra blijkt dat dat land onveilig is. En dat is dus het geval, gezien de CLOUD Act (Clarifying Lawful Use of Overseas Data): deze is sinds 2018 van kracht in de Verenigde Staten en verplicht Amerikaanse aanbieders van elektronische communicatiediensten de gegevens (die via hun diensten worden verstuurd) te bewaren en indien de Amerikaanse overheid (of de inlichtingen- en veiligheidsdienst, zoals de NSA) erom vraagt deze af te staan. Het verstrekken van gegevens onder de CLOUD Act levert een directe schending op van artikel 48 AVG. Gegevens van EU-burgers zijn aldus onvoldoende beschermd. De conclusie dient zich aan dat gebruik van Mailchimp aldus niet voldoet aan de GDPR en derhalve illegaal is.
Onderneem actie!
ICTRecht Privacy heeft inmiddels een speciale editie van hun Nieuwsbrief uitgegeven. Daarin beantwoorden de privacy-juristen diverse vragen en formuleren een actielijst. Belangrijk leesvoer als uw organisatie gebruik maakt van data doorgifte of opslag in de Verenigde Staten. Er is geen overgangstermijn, boetes zijn niet mals, u moet dus direct actie ondernemen! Lees ook het artikel “Privacy Shield ongeldig: wat kun je doen?” op Emerce.
Update: Op 10 november 2020 heeft de European Data Protection Board (EDPB) aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Dat zijn landen waar persoonsgegevens minder goed beschermd zijn dan in de EU. De aanbevelingen zijn gedaan naar aanleiding van het ongeldig verklaren van de Privacy Shield overeenkomst. Gebruik maken van de modelcontracten (de hierboven genoemde SCC’s) mag alleen als er voldoende aanvullende maatregelen worden genomen om de privacy volgens de GDPR te waarborgen. Bij twijfel: houd data binnen de EU! De aanbevelingen staan in een tweetal documenten: