Het openen van Pandora's Doos: Bedrijven kunnen niet zeggen hoe ze zich houden aan de uitspraak van het Hof van Justitie..

Sep 25, 2020

Het openen van Pandora's Doos Bedrijven kunnen niet zeggen hoe ze zich houden aan de uitspraak van het Hof van Justitie van de EU

Naar aanleiding van het arrest van het Hof in zaak C-311/18 ("Schrems II") over het privacyschild en de standaardclausules in contracten, hebben het noyb-team en een aantal van onze leden 33 bedrijven en diensten die zij op persoonlijke basis gebruiken, gevraagd hoe zij de internationale gegevensoverdracht benaderen. De antwoorden die we ontvingen liepen uiteen over het hele spectrum: van goed, naar slecht, naar schokkend. We hebben nu een rapport voor het publiek opgesteld waarin deze reacties in detail worden beschreven.

  • Scroll door de verzamelde antwoorden van bedrijven in dit 45 pagina's tellende rapport (PDF), dat zich uitstrekt van Airbnb tot Zoom
  • Bekijk het persbericht (PDF)

Nadat het Hof van Justitie van de Europese Unie voor de tweede keer uitspraak had gedaan over de doorgifte van gegevens tussen de EU en de VS (na het einde van "Safe Harbor" in 2015), vroegen wij ons af of bedrijven nu beter zijn toegerust om de regels van de GDPR inzake internationale doorgifte van gegevens aan te pakken. Gebruikers hebben recht op gedetailleerde informatie over de plaats waar hun gegevens zijn verzonden. Daarom is de volgende tekst tussen juli en september 2020 aan elk bedrijf voorgelegd:

"Geachte heer/mevrouw,

Ik ben een van uw klanten. In overeenstemming met de artikelen 12, 13, 14 en 15 van de GDPR doe ik de volgende verzoeken:

  • Dragen jullie gegevens over buiten de EU? Zo ja, naar welke landen?
  • Wat is de rechtsgrondslag voor elke doorgifte (bv. besluit inzake gepastheid, SCC's, BCR's, afwijkingen...)? Indien u gebruik heeft gemaakt van AKK's of BCR's, geef dan een kopie van de AKK's of BCR's die voor elke overdracht zijn gebruikt.
  • Als u persoonlijke gegevens naar de VS stuurt, valt een van uw partners dan onder 50 USC §1881a ("FISA 702") of verstrekt u gegevens aan de Amerikaanse overheid onder EO 12.333?
  • Als u persoonlijke gegevens naar de VS stuurt, welke technische maatregelen neemt u dan om ervoor te zorgen dat mijn persoonlijke gegevens niet worden onderschept door de Amerikaanse overheid op doorreis?

Gelieve binnen een week te antwoorden, aangezien de GDPR vereist dat u "zonder onnodige vertraging" antwoordt. Dit is een eenvoudig verzoek dat geen uitgebreide analyse vereist. Verdere identificatie buiten mijn e-mail lijkt niet nodig aangezien ik geen kopie van mijn persoonlijke gegevens vraag. Indien u meer informatie wenst, aarzel dan niet om contact met mij op te nemen.

Met vriendelijke groet, Naam"

Verbazingwekkende antwoorden - of helemaal geen antwoord. De antwoorden waren over het algemeen verbazingwekkend. Sommige bedrijven zoals Airbnb, Netflix en WhatsApp reageerden helemaal niet op onze verzoeken om informatie, terwijl andere bedrijven ons gewoon doorverwezen hebben naar hun privacybeleid, dat een meer gedetailleerde uitleg ontbrak

Anderen hebben informatie verstrekt die niet echt tot meer zekerheid leidt: Zo verklaarde Slack (een zeer populaire software voor interne communicatie in het bedrijfsleven) dat zij de overheid niet "vrijwillig" toegang tot gegevens verschaften, wat geen antwoord geeft op de vraag of zij daartoe verplicht zijn op grond van toezichtswetten zoals FISA702.

Andere bedrijven deden het beter met hun antwoorden, zoals Microsoft, die een antwoord gaf op elke gestelde vraag, of Virgin Media, die ons een kopie van hun Standaard Contractuele Clausules stuurde. Tegelijkertijd beweert Microsoft nog steeds dat ze persoonlijke gegevens kunnen overdragen naar de VS (link naar de blog van Microsoft), ondanks het feit dat het een van de bedrijven is die expliciet worden genoemd in de documenten die door Edward Snowden zijn vrijgegeven en die de FISA702-verzoeken van de Amerikaanse overheid openbaar hebben genummerd ontvangen en beantwoord.

Over het geheel genomen waren we verbaasd over het aantal bedrijven dat niet meer dan een antwoord op de vraag naar de ketelplaat kon geven. Het lijkt erop dat het grootste deel van de industrie nog steeds geen plan heeft om verder te gaan.

Wilt u een soortgelijk verzoek indienen bij de bedrijven en diensten waarmee u in contact komt? Voel je vrij om een van onze templates te gebruiken op deze pagina hier!