Volgende stappen voor EU-bedrijven & FAQ's

Jul 20, 2020

Wij zijn ons er terdege van bewust dat veel voor de verwerking verantwoordelijken overstelpt worden door het recente arrest van het Hof van Justitie van de Europese Unie inzake de doorgifte van gegevens tussen de EU en de VS en het ontbreken van een termijn voor het verlenen van gratie. We hebben de meest voorkomende vragen en antwoorden hieronder samengevat. Wij verstrekken ook twee modelverzoeken die u aan elke Amerikaanse partner of elke EU-partner met banden met de VS kunt sturen. Snelle actie kan een relevante factor zijn indien een gegevensbeschermingsautoriteit boetes overweegt voor het niet naleven van het arrest van het Hof van Justitie van de Europese Unie. Wij zullen deze FAQ's actualiseren en de komende dagen specifieke FAQ's en modelteksten voor gebruikers ("betrokkenen") publiceren. Laat het ons weten als u feedback heeft.

 

Modelverzoeken aan Amerikaanse aanbieders of aanbieders met banden met de VS

U kunt deze modelverzoeken gebruiken voor de meest voorkomende soorten gegevensstromen tussen de EU en de VS die door het arrest van het Hof van Justitie van de Europese Unie kunnen worden uitgevoerd:

We zullen binnenkort nog meer modelaanvragen voor andere situaties toevoegen.

 

FAQ's voor EU-bedrijven

  • Wat zijn de gevolgen als ik geen actie onderneem?

Het Hof van Justitie heeft erop gewezen dat de voor de verwerking verantwoordelijken en (indien de voor de verwerking verantwoordelijken niet actief zijn) de gegevensbeschermingsautoriteiten verplicht zijn op te treden om de doorgifte van gegevens op te schorten of te verbieden (punt 134 van het arrest) wanneer zij niet beschikken over een geldig rechtsinstrument voor een doorgifte. Dit betekent dat er in dit geval geen kans is op een "respijtperiode".

Op grond van de GDPR wordt een boete van € 20 miljoen of 4% van de totale omzet opgelegd als u gegevens blijft doorgeven zonder een geldig rechtsinstrument (artikel 83, lid 5, onder c), van de GDPR). NGO's, werknemersraden of individuele gebruikers kunnen klachten indienen of rechtszaken aanspannen, ook voor emotionele schade.

Het is waarschijnlijk dat een gegevensbeschermingsautoriteit een voor de verwerking verantwoordelijke niet zal beboeten als deze kan aantonen dat alle maatregelen om aan het arrest van het Hof van Justitie van de Europese Unie te voldoen, zo snel mogelijk zijn genomen. Deze pagina is bedoeld om de voor de verwerking verantwoordelijken in staat te stellen dergelijke stappen aan te tonen.

  • Bekijk het als u gegevens naar het buitenland moet overdragen vanuit een zakelijk perspectief!

In veel gevallen werden externe niet-EU/EER-aanbieders gekozen met weinig aandacht voor de gevolgen. Daarom kunt u in veel gevallen overstappen naar een EU/EER-aanbieder (of een aanbieder uit een "geschikt" land als Zwitserland) en zo problemen met de gegevensoverdracht vermijden

Zelfs als het gebruik van een EU/EER-aanbieder in eerste instantie duurder lijkt, kan de tijd die wordt besteed aan het legaal maken van een doorgifte buiten de EU/EER u meer kosten dan wat u bespaart op een goedkoper aanbod uit het buitenland.

  • Als u de VCA's nog steeds gebruikt voor overdrachten naar een niet-EU/EER-aanbieder, wat moet u dan doen?

De voor de verwerking verantwoordelijke en de betrokken dienstverrichter moeten een "zaaksgewijze" analyse maken (punt 134 van het arrest) om na te gaan of er nationale wetten zijn die voor deze dienstverrichter een inbreuk vormen op de BBPR en het Handvest van de grondrechten.

In het algemeen zullen wetten die een gemeenschappelijke wetshandhavingsinstantie toegang geven tot gegevens in geïndividualiseerde gevallen en die onderworpen zijn aan de goedkeuring van een rechter, in overeenstemming zijn met het EU-recht. Vormen van minder democratische, verregaande toegang ("massale verwerking") of toegang zonder rechterlijke toetsing zullen niet in overeenstemming zijn met het EU-recht.

  • Als ik de SCC's specifiek gebruik voor overdrachten naar een Amerikaanse aanbieder, wat moet ik dan doen?

De meeste Amerikaanse cloudaanbieders vallen onder FISA 702 en u zult ze niet meer kunnen gebruiken. De definitie in 50 USC § 1881(b)(4) voor een "aanbieder van elektronische communicatiediensten" geeft een opsomming:

  • Aanbieders van remote computing diensten,
  • Aanbieder van elektronische communicatiediensten,
  • Telecommunicatiemaatschappijen,
  • Elke andere aanbieder van communicatiediensten die toegang heeft tot draad- of elektronische communicatie, hetzij als dergelijke communicatie wordt verzonden, hetzij als dergelijke communicatie wordt opgeslagen, en
  • elke functionaris, werknemer of agent van een dergelijke entiteit.

Als u niet zeker bent, kunt u uw provider vragen of ze zelf onder FISA 702 vallen en/of of ze een goede bescherming hebben tegen bewaking door derden tijdens het transport (onder FISA 702 en/of EO 12.333). Omdat elke situatie anders is, hebben we voorlopige voorbeeldvragen opgesteld, die u gratis kunt gebruiken om te weten te komen of uw Amerikaanse verwerkingsoplossing in overeenstemming is met het vonnis:

Download: Voorbeeldvragen voor het gebruik van de SCC's met een Amerikaanse aanbieder.

  • Als ik gebruik maak van een aanbieder die gegevens verwerkt in de EU/EER, maar gekoppeld is aan (of gebruik maakt van) een Amerikaans bedrijf, wat moet ik dan doen?

FISA 702 en EO 12.333 hebben geen territoriale beperkingen. Zij zijn ook van toepassing op servers in de EU die worden geëxploiteerd door een Amerikaanse "electronic communication service provider" of waarbij bepaalde activiteiten worden uitbesteed aan een Amerikaanse provider. De locatie voor de hosting is dus niet relevant.

In sommige gevallen kunnen de providers de feitelijke toegang ("bezit, bewaring of controle") van Amerikaanse entiteiten voldoende beperkt hebben, zodat een EU/EER-server feitelijk buiten het bereik van de Amerikaanse overheid ligt. Dit kan bijvoorbeeld het geval zijn als een EU-entiteit gebonden is aan de GDPR om geen gegevens te verstrekken aan de Amerikaanse moedermaatschappij en er geen feitelijke toegang is voor de Amerikaanse moedermaatschappij

Omdat elke situatie anders is, hebben we voorlopige voorbeeldvragen opgesteld, die u gratis kunt gebruiken om te weten te komen of uw EU-verwerkingsoplossing in overeenstemming is met het oordeel:

Download: Voorbeeldvragen voor hosting binnen de EU, met een link naar de VS

  • Hoe zit het met het toezicht op de doorvoer?

In punt 183 van C-311/18 heeft het Hof van Justitie van de Europese Unie ook vastgesteld dat het toezicht van de VS "in transit" (zoals "Upstream" of kranen van de onderzeese kabels) een schending van de grondrechten van de EU inhoudt

Vanuit een GDPR-perspectief nemen wij het voorlopige standpunt in dat dergelijk extern geknoei met persoonsgegevens voornamelijk valt onder artikel 32 GDPR ("beveiliging van de verwerking"). De gegevensexporteur en -importeur moet daarom passende technische en organisatorische maatregelen treffen om de overgedragen gegevens te beschermen tegen het afluisteren van NSA/FBI-gegevens

Gezien het feit dat de Amerikaanse regering enorme bevoegdheden heeft om encryptie te breken, is het in elke overdrachtssituatie vooral een technische vraag of en hoe een technische oplossing mogelijk is. De Amerikaanse overheid beweert vooral "selectors" (zoals e-mailadressen, IP-adressen of telefoonnummers) te gebruiken voor programma's als Upstream. Elke technische aanpak moet er dus voor zorgen dat dergelijke selectoren onder de end-to-end encryptielaag blijven. In veel vormen van directe communicatie (zoals een PGP-versleutelde e-mail) zijn de "selectors" zelf niet versleuteld

U kunt de bovenstaande voorbeeldvragen gebruiken om uw aanbieder te vragen naar maatregelen tegen toezicht tijdens het vervoer.

  • Bestaat er een lijst van Amerikaanse aanbieders die onder deze toezichtswetten vallen?

Er is geen volledige lijst van alle Amerikaanse aanbieders die onder 702 FISA (50 USC § 1881a) vallen, aangezien alle "aanbieders van elektronische communicatiediensten" onder deze wet vallen. De definitie van een "aanbieder van elektronische communicatiediensten" is te vinden in 50 USC § 1881(b)(4).

Tegelijkertijd heeft een aantal bedrijven zelfs zogenaamde "transparantierapporten" gepubliceerd waarin de toegangen onder FISA worden vermeld. Hierdoor weten we dat deze bedrijven zeker onder een FISA-order staan

U kunt hier enkele voorbeelden vinden (veel andere bedrijven delen dergelijke informatie gewoon niet, ondanks dat ze onder FISA 702 vallen):

AT&T

Amazone (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (voormalig Eed & Yahoo)

Verizon

  • Wie is er aansprakelijk voor de kosten van de uitvoering van de fallout van C-311/18?

Als u de VCA's al eerder hebt gebruikt voor uw overdrachten, is de wet niet veranderd. Elke niet-EU/EER-aanbieder had de plicht u te informeren over wetten als FISA 702 en EO 12.333. Indien zij dit niet hebben gedaan, zijn zij aansprakelijk voor alle kosten die voortvloeien uit de annulering van de SCC's en de terugzending van gegevens naar de EU/EER krachtens clausule II van de bijlage bij Beschikking 2004/915/EG of clausule 5, onder b), van de bijlage bij Beschikking 2010/87/EG

Het besluit over het privacyscherm was een onjuist uitvoeringsbesluit van de Europese Commissie. In theorie kunnen op grond van artikel 340 VWEU schadeclaims tegen de EU worden ingediend.

  • Kan ik artikel 49 GDPR gewoon gebruiken voor alle overdrachten in de VS?

De EDPB heeft zich op het standpunt gesteld dat artikel 49 alleen mag worden gebruikt voor "incidentele en niet repetitieve overdrachten", waardoor artikel 49 wordt beperkt tot individuele situaties waarin gebruikers uitdrukkelijk toestemming hebben gegeven of wanneer de overdracht strikt noodzakelijk is om een overeenkomst te sluiten (bv. een hotelboeking in het buitenland).

In tegenstelling tot sommige beweringen is het uitbesteden van verwerkingsactiviteiten niet strikt "noodzakelijk" om het contract te verstrekken, als u in theorie ook een EU/EER-provider zou kunnen gebruiken of gegevens in eigen beheer zou kunnen verwerken. Controleurs moeten er ook rekening mee houden dat de betrokkenen hun toestemming te allen tijde kunnen intrekken.

Hoewel artikel 49 toestaat dat de "basis"-communicatie met elk land ter wereld (van Zwitserland tot Noord-Korea) open blijft, is het slechts een afwijking voor overdrachten die van cruciaal belang zijn.

Link: Richtsnoeren 2/2018 betreffende afwijkingen van artikel 49

  • Hoe kan ik beoordelen of de wetgeving van het derde land verenigbaar is met de grondrechten van de EU?

Na het Schrems I-arrest heeft de Artikel 29 Werkgroep (nu EDPB) in 2016 duidelijke richtlijnen gegeven over wat wel en wat niet kan worden beschouwd als een gerechtvaardigde inmenging in de grondrechten in een democratische samenleving met betrekking tot de wetgeving inzake gegevensbescherming (artikelen 7 en 8 van het Handvest). In dit werkdocument hebben de gegevensbeschermingsautoriteiten reeds vier Europese essentiële garanties vastgesteld die moeten worden nageleefd in de landen waar de EU-gegevens worden verzonden:

A. De verwerking moet gebaseerd zijn op duidelijke, precieze en toegankelijke regels

B. De noodzaak en de evenredigheid met de nagestreefde legitieme doelstellingen moeten worden aangetoond

C. Er moet een onafhankelijk toezichtmechanisme bestaan

D. Er moeten doeltreffende rechtsmiddelen beschikbaar zijn voor het individu.

Men zal merken dat het Hof van Justitie ten minste twee punten uit deze richtlijn heeft gebruikt om het privacyschild ongeldig te maken. Daarom kan het nuttig zijn om eerst dit werkdocument te bekijken

Link: Werkdocument 237 van de Groep artikel 29