Op deze pagina hebben we de mogelijkheden samengevat voor gebruikers die willen voorkomen dat hun gegevens worden doorgegeven aan de Verenigde Staten na het arrest van het Hof van Justitie in zaak C-311/18 ("Schrems II") over het privacyschild en de standaardcontractuele clausules ("VCA's"). Daarnaast hebben we een aantal FAQ's toegevoegd die u kunnen helpen bij het identificeren van gevallen waarin u het recht hebt om te verzoeken om de overdracht van gegevens te stoppen.
Wat kan ik nu doen?
De GDPR geeft u sterke rechten om informatie over uw gegevens te krijgen en actie te ondernemen - gebruik ze!
STAP 1: Vraag of uw gegevens buiten de EU worden doorgegeven
U kunt de organisatie die uw gegevens verwerkt (een bedrijf, een overheidsinstelling of een andere entiteit) vragen of zij uw gegevens buiten de EU doorgeven, en waar, aan wie en op welke basis zij deze doorgeven. Dit maakt deel uit van uw recht op toegang en uw recht op informatie. Een dergelijk verzoek kan via e-mail aan de betreffende organisatie worden gericht (meestal geven zij een e-mail door waar u dergelijke verzoeken naartoe kunt sturen). Aangezien dit antwoord geen diepgaande analyse van de organisatie vereist en het arrest van het Hof van Justitie van de Europese Unie niet voorziet in een respijtperiode voor illegale internationale overdrachten, moeten zij u vrij snel een antwoord geven
U kunt de volgende tekst gebruiken om uw aanvraag te schrijven:
Geachte heer/mevrouw,
Ik ben een van uw klanten. In overeenstemming met de artikelen 12, 13, 14 en 15 van de GDPR doe ik het volgende verzoek:
- Draagt u gegevens over buiten de EU? Zo ja, naar welke landen?
- Wat is de rechtsgrond voor elke overschrijving (bv. besluit inzake gepastheid, SCC's, BCR's, afwijkingen...)? Indien u VCA's of BCR's hebt gebruikt, gelieve een kopie van de VCA's of BCR's die voor elke overschrijving worden gebruikt, te bezorgen.
- Als u persoonlijke gegevens naar de VS stuurt, valt een van uw partners dan onder 50 USC §1881a ("FISA 702") of verstrekt u gegevens aan de Amerikaanse overheid onder EO 12.333?
- Als u persoonlijke gegevens naar de VS stuurt, welke technische maatregelen neemt u dan om ervoor te zorgen dat mijn persoonlijke gegevens niet worden onderschept door de Amerikaanse overheid tijdens het transport?
Gelieve binnen een week te antwoorden, aangezien de GDPR vereist dat u "zonder onnodige vertraging" antwoordt. Dit is een eenvoudig verzoek dat geen uitgebreide analyse vereist. Verdere identificatie buiten mijn e-mail lijkt niet nodig, aangezien ik geen kopie van mijn persoonlijke gegevens eis. Indien u meer informatie wenst, aarzel dan niet om contact met mij op te nemen.
Met vriendelijke groet,
[Uw naam]
STAP 2: Verzoek om uw gegevens niet langer door te geven aan de VS
Als het bedrijf of de organisatie u vertelt dat uw gegevens worden verzonden naar een Amerikaans bedrijf dat onder de bovengenoemde massabewakingswetten valt, kunt u eisen dat het bedrijf in de EU de overdracht van dergelijke gegevens stopzet.
U kunt de volgende tekst gebruiken om uw aanvraag te schrijven:
Geachte heer/mevrouw,
Ik ben een van uw klanten. Ik heb reden om aan te nemen dat u mijn persoonlijke gegevens illegaal aan de Verenigde Staten doorgeeft.
Als u persoonlijke gegevens doorgeeft aan een in de VS gevestigde "electronic communication service provider" zoals gedefinieerd in 18 U.S. Code §1881(4)(b), of als u nog steeds vertrouwt op het privacyschild voor dergelijke doorgiften, verzoek ik u de doorgifte van mijn persoonlijke gegevens onmiddellijk te staken. Laat me binnen een week weten wanneer u de overdracht zult stoppen. Gelieve mij binnen een week op de hoogte te brengen van de datum waarop u dergelijke overdrachten zult hebben stopgezet
Als u meer informatie nodig heeft, aarzel dan niet om contact met mij op te nemen.
Met vriendelijke groet,
[Uw naam]
STAP 2+3: Verzoek om uw gegevens niet meer door te geven aan de VS
U kunt ook een verzoek om informatie combineren met een verzoek om de gegevensoverdracht te stoppen:
U kunt de volgende tekst gebruiken om uw aanvraag te schrijven:
Geachte heer/mevrouw,
Ik ben een van uw klanten. In overeenstemming met de artikelen 12, 13, 14 en 15 van de GDPR doe ik het volgende verzoek:
- Draagt u gegevens over buiten de EU? Zo ja, naar welke landen?
- Wat is de juridische basis waarop elke doorgifte is gebaseerd (bv. besluit inzake gepastheid, VCA's, BCR's, afwijkingen...)? Indien u VCA's of BCR's hebt gebruikt, gelieve een kopie van de VCA's of BCR's die voor elke doorgifte zijn gebruikt, te verstrekken.
- Als u persoonsgegevens naar de VS stuurt, valt een van uw partners dan onder 50 USC §1881a ("FISA 702") of verstrekt u gegevens aan de Amerikaanse overheid onder EO 12.333?
- Als u persoonlijke gegevens naar de VS stuurt, welke technische maatregelen neemt u dan om ervoor te zorgen dat mijn persoonlijke gegevens niet worden onderschept door de Amerikaanse overheid op doorreis?
- Als u persoonlijke gegevens overdraagt aan een in de VS gevestigde "electronic communication service provider" zoals gedefinieerd in 18 U.S. Code §1881(4)(b), of als u nog steeds vertrouwt op het Privacy Schild voor een dergelijke overdracht, verzoek ik u om de overdracht van mijn persoonlijke gegevens onmiddellijk te stoppen
Gelieve binnen een week te antwoorden, aangezien de GDPR vereist dat u 'zonder onnodige vertraging' antwoordt. Dit is een eenvoudig verzoek dat geen uitgebreide analyse vereist. Verdere identificatie buiten mijn e-mail lijkt niet nodig, aangezien ik geen kopie van mijn persoonlijke gegevens eis. Als u meer informatie nodig heeft, aarzel dan niet om contact met mij op te nemen
Met vriendelijke groet,
Uw naam
STAP 3: Dien een klacht in bij uw gegevensbeschermingsautoriteit om de overdracht naar de VS tegen te houden
Als uw bedrijf niet stopt met onnodige overdrachten naar de VS of niet reageert, kunt u altijd een klacht indienen bij uw lokale Data Protection Authority
Op deze pagina vindt u een link naar uw lokale Data Protection Authority (DPA) https://edpb.europa.eu/about-edpb/board/members_en. De precieze procedure voor het indienen van een klacht hangt af van de wetgeving van het land waar u de klacht indient, maar de procedure is over het algemeen vrij informeel. Op de meeste websites van DPA vindt u een klachtenformulier waar u uw situatie kunt uitleggen.
Als leidraad kunt u de volgende tekst gebruiken om een klacht in te dienen:
Mogelijk bieden wij in de toekomst meer specifieke teksten aan. Vergeet niet uw persoonlijke situatie toe te lichten in deze tekst.
Geachte heer/mevrouw,
Ik ben een klant van [naam en adres van het bedrijf]
Mijn accountgegevens zijn [vul hier in].
Ik ben van mening dat [naam van het bedrijf] mijn persoonlijke gegevens illegaal blijft overdragen omdat [een indicatie, zoals hun privacybeleid of antwoord dat ze naar u hebben gestuurd, bevatten]
Ik verwijs naar het arrest van het Hof van Justitie van de Europese Unie in zaak C-311/18 - Schrems II. Aangezien [naam van de organisatie] mijn persoonsgegevens aan de VS blijft doorgeven zonder een passende rechtsgrond, verzoek ik u de zaak te onderzoeken en een opschorting of een verbod op de verwerking te gelasten
Met vriendelijke groet,
[Uw naam]
FAQ's voor gebruikers
Waarom heeft het Hof geoordeeld dat er problemen waren met de doorgifte van gegevens tussen de EU en de VS?
Het EU-recht kent iedereen het recht toe op privacy, gegevensbescherming en schadeloosstelling voor de rechter. Het Hof van Justitie van de EU heeft deze rechten met betrekking tot de doorgifte van gegevens aan de VS bevestigd in zijn arrest over het privacyschild en de VCA's. Kortom, het Hof zei dat het massale toezicht in de VS en het gebrek aan rechtsbescherming tegen illegaal toezicht het vaak (maar niet altijd) illegaal maakt voor bedrijven om uw gegevens naar de VS te sturen
Welke gegevensoverdrachten zijn nog legaal?
Volgens artikel 49 van de GDPR zijn sommige "noodzakelijke" overboekingen nog steeds legaal (bv. wanneer u een hotel in de VS boekt en de boeking naar het hotel in de VS wordt gestuurd). Het is nog steeds legaal om gegevens door te geven wanneer u op de hoogte bent gebracht van de Amerikaanse wetgeving en u er uitdrukkelijk en vrijelijk mee hebt ingestemd. U moet deze toestemming te allen tijde kunnen intrekken, zonder negatieve gevolgen
U kunt ook altijd uw eigen gegevens naar de VS sturen (als u direct gebruik wilt maken van een provider die zich alleen in de VS bevindt).
Welke gegevensoverdrachten zijn illegaal?
Overdrachten naar Amerikaanse bedrijven die onder een Amerikaanse "massabewakings"-wet vallen, zoals FISA 702 (ook wel 50 USC §1881a genoemd), zijn meestal illegaal. De bedrijven die er niet op kunnen vertrouwen zijn de zogenaamde "electronic communication service providers". Dit is een brede term onder de Amerikaanse wetgeving en omvat de meeste IT- en cloudaanbieders.
Voorbeelden van deze aanbieders zijn AT&T, Amazone (AWS), Apple, Wolkbreuk, Dropbox, Facebook, Google, Microsoft, Verizon Media (bekend als Eed & Yahoo) of Verizon. De links van elk van de bedrijven brengen u naar hun transparantierapporten die u vertellen hoe vaak zij onderworpen waren aan verzoeken om toegang tot gegevens van de Amerikaanse overheid.
Dit betekent dat typische "outsourcing"-situaties (wanneer een EU-bedrijf uw gegevens doorstuurt naar een Amerikaans bedrijf dat op zijn beurt uw gegevens verwerkt) in de meeste gevallen illegaal zijn.
Vergeet niet dat wanneer u in de EU woont, u vaak een contract hebt met een EU-dochteronderneming van dat Amerikaanse bedrijf (bijv. Facebook-gebruikers hebben een contract met Facebook Ierland). Als zij de verwerking van uw gegevens geheel of gedeeltelijk uitbesteden aan het Amerikaanse moederbedrijf, is de overdracht evenzeer onwettig.
Wat is "Privacy Shield" en wat zijn "Standard Contractual Clauses" of "SCC's"?
Volgens de GDPR mogen persoonsgegevens de EU niet verlaten. Als uitzondering op deze regel kunnen bedrijven bepaalde juridische instrumenten gebruiken om de overdracht toe te staan. Twee van de meest voorkomende instrumenten waarop bedrijven vertrouwen om uw gegevens van de EU naar de VS door te geven, zijn "standaardcontractuele clausules" (of "VCA's") en het "privacyschild".
Het Privacy Schild is door het Hof van Justitie ongeldig verklaard, zodat het niet meer bestaat. Gegevens kunnen sinds 16 juli 2020 niet meer onder het privacyschild naar de VS worden overgedragen
Bijna hetzelfde verbod geldt voor het gebruik van AKK's: Alle ondernemingen die onder een Amerikaanse "massatoezicht"-wet vallen, mogen de AKK's niet meer gebruiken. De reden hiervoor is dat de ACC's de Amerikaanse wetgeving niet kunnen opheffen.
Wat betekent dit in het dagelijks leven?
Hieronder vindt u enkele voorbeelden van veelvoorkomende gevallen die waarschijnlijk de overdracht van uw persoonlijke gegevens naar de VS omvatten
Gevallen die typisch worden beïnvloed door het oordeel:
Als u een klant bent van een EU/EER bedrijf dat:
- is een geïntegreerd filiaal van een Amerikaans bedrijf (bijv. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo en dergelijke) of
- is afhankelijk van opslag of andere vormen van verwerking in de VS (veel "gemiddelde" bedrijven in de EU).
Gevallen die doorgaans niet door het vonnis worden beïnvloed:
Noodzakelijke overdrachten die nog steeds legaal zijn, zoals de volgende:
- Een hotel of andere accommodatie boekt, rechtstreeks in de VS of via een reisbureau in de EU (bijv. een kamer in San Francisco);
- Het boeken van een vlucht naar de VS;
- Reservering voor een huurauto in de VS;
- Het online bestellen van goederen bij een in de VS gevestigd bedrijf;
- Het gebruik van online diensten die worden geleverd door een in de VS gevestigd bedrijf (zonder vestiging in de EU);
- Het sturen van een e-mail naar de VS;
- Het verzenden van uw gegevens naar uw advocaat in de VS in het kader van een rechtszaak;
- Het contacteren van een Facebook-vriend die zich in de VS bevindt;
- Videobellen naar de VS.
