Klachten over de website
Voor het beheer van haar interne Coronatestcentrum en de bijbehorende website (europarl.ecocare.center) had het EP Ecolog, een commercieel bedrijf, ingeschakeld. Volgens klagers stonden op de betreffende website van het EP o.a. privacyverklaringen die niet de vereiste informatie bevatten op basis van Verordening 2018/1725 (de ‘AVG-variant’ die specifiek voor Europese instellingen en organen geldt). Daarbij voldeed het cookiegebruik niet aan de cookieregels zoals neergelegd in ePrivacy richtlijn (voor Nederland vertaald in de Telecommunicatiewet) nu Google Analytics en Stripe cookies werden geplaatst zonder dat voldoende aanvullende waarborgen waren getroffen. Na ontvangst van diverse klachten hierover heeft de EDPS (die o.a. de rol van privacy toezichthouder voor Europese instellingen en organen vervult) een onderzoek gestart.
Wie is de verwerkingsverantwoordelijke?
In haar onderzoek stelde de EDPS als eerste vast dat het EP in deze was aan te merken als verwerkingsverantwoordelijke en Ecolog als verwerker. Uit de tussen partijen gesloten contracten en de mailwisselingen maakte de EDPS namelijk op dat het EP het beheer van de website aan Ecolog had gedelegeerd en er daarbij voor had gekozen om Ecolog operationele afhankelijkheid en beslissingsbevoegdheid te geven. Immers informeerde Ecolog het EP over zaken op de website (zoals de privacyverklaring en het Google Analytics gebruik) en was het EP uiteindelijk de partij die hierover kon besluiten. Dat via de website onrechtmatig persoonsgegevens via cookies werden verwerkt was volgens de EDPS dan ook de verantwoordelijkheid van het EP. Het EP kon dit niet afschuiven. Het EP wist immers dat websitebeheer niet het primaire expertiseveld was van Ecolog (die lag namelijk in de Covidtest faciliteiten) en toch had ze ervoor gekozen om haar bevoegdheden te delegeren.
Hoe zit het met de cookies?
Ten aanzien van de Google Analytics en Stripe cookies, overwoog de EDPS dat hierdoor persoonsgegevens werden doorgegeven naar de Verenigde Staten (VS). Met Google was het EP hiertoe de Standard Contractual Clauses (SCC’s) overeengekomen. De EDPS vond echter dat desondanks geen sprake was van passende waarborgen nu niet was voldaan aan de vereisten die volgen uit Schrems II. In Schrems II is namelijk bepaald (hetgeen ook in de nieuwe SCC’s is vastgelegd) dat voorafgaand aan een internationale doorgifte een assessment moet zijn uitgevoerd. Uit dit assessment moet vervolgens blijken of voldoende aanvullende effectieve waarborgen zijn getroffen, waardoor het beschermingsniveau bij de ontvanger van de persoonsgegevens vergelijkbaar is met het beschermingsniveau binnen de Europese Economische Ruimte (EER). Specifiek t.a.v. doorgifte naar de VS is een dergelijk assessment van groot belang, vanwege de verregaande bevoegdheden van Amerikaanse inlichtingendiensten. Het EP kon echter geen bewijs of documentatie aanleveren over het assessment, waardoor de EDPS concludeerde dat het cookiegebruik vanwege de internationale doorgifte dus onrechtmatig was.
Wat betekent dit voor de praktijk?
Internationale doorgifte en specifiek het gebruik van Google Analytics cookies en Amerikaanse leveranciers, ligt op dit moment op meerdere plekken in de Europese Unie zwaar onder vuur. Zo geeft ook de Nederlandse privacy toezichthouder, de Autoriteit Persoonsgegevens, op haar website aan dat het gebruik van Google Analytics cookies mogelijk verboden gaat worden.
Mocht u gebruik maken van leveranciers buiten de EER, dan blijkt uit deze zaak nogmaals dat u dit niet meer verantwoord kunt doen zonder dat u een assessment heeft uitgevoerd en hier op verzoek bewijs van kunt aanleveren. Daarnaast is het altijd goed om helder en kritisch te blijven ten aanzien van de verantwoordelijkheidsverdeling tussen opdrachtgever en opdrachtnemer en hierbij de praktijk in acht te nemen (en niet alleen wat partijen op papier overeenkomen). Afhankelijk van de praktijk wordt namelijk bepaald wie waarvoor qua privacy zaken verantwoordelijk en dus ook aansprakelijk is.
Vragen?
Heeft u vragen over assessments t.a.v. de doorgifte naar internationale partijen? Neem dan gerust contact op.
Natascha van Duuren, advocaat / managing partner IT, Privacy & Cybersecurity