De uitspraak in Schrems II was niet beperkt tot de ongeldigverklaring van het Privacy Shield alleen. Het Hof oordeelde namelijk ook dat de Standard Contractual Clauses (SCC’s) in algemene zin geldig zijn, maar voegde daaraan toe dat niettemin van geval tot geval moet worden beoordeeld of de rechtsbescherming in het ontvangende land in grote lijnen overeenkomt met de bescherming die binnen de Unie wordt geboden en dat soms aanvullende waarborgen nodig zijn. Dat laatste leidt uiteraard tot onzekerheid, want hoe moet die beoordeling precies worden uitgevoerd, aan welke extra waarborgen moet worden gedacht en wat betekent dit concreet voor doorgiften aan de VS, waarvan het Hof nu juist heeft vastgesteld dat de rechtsbescherming daar ontoereikend is?
In navolging op de uitspraak zijn inmiddels door de EDPB de eerste aanbevelingen gepubliceerd. De EDPB bevestigt dat de SCC’s en andere passende waarborgen genoemd in artikel 46 AVG niet in een vacuüm opereren. Bedrijven die persoonsgegevens willen doorgeven op basis van deze instrumenten zullen dus van geval tot geval moeten beoordelen of de waarborgen daadwerkelijk effectief zijn, waarbij zij ook moeten letten op de kwaliteit van het recht en de rechtspraktijk in het ontvangende land, in het bijzonder ten aanzien van surveillance door de overheid. De European Essential Guarantees kunnen bij die beoordeling als leidraad gelden. Blijkt uit het onderzoek dat de SCC’s of een andere passende waarborg onvoldoende effectief zijn, dan zal onderzocht moeten worden of aanvullende waarborgen de lacune kunnen dichten. De EDPB geeft in dit opzicht verschillende voorbeelden van technische, contractuele en organisatorische maatregelen die bedrijven kunnen overwegen.
In relatie tot de VS, stelt de EDPB expliciet dat het van belang is na te gaan of de ontvanger(s) onder de reikwijdte vallen van Sectie 702 van de US Foreign Intelligence Surveillance Act (FISA). Is dat het geval, dan zijn in ieder geval aanvullende technische waarborgen nodig die (effectieve) toegang tot de data door Amerikaanse veiligheidsdiensten onmogelijk maken, zoals encryptie en pseudonimisering. De EDPB geeft ook enkele richtlijnen voor de kwaliteit waaraan deze technieken moeten voldoen, zoals op het gebied van sleutellengte en sleutelbeheer.
Het valt te prijzen dat de EDPB relatief kort na Schrems II met deze – in een aantal opzichten concrete – aanbevelingen komt. Toch dringt zich de vraag op of bedrijven niet opgezadeld worden met een verantwoordelijkheid waar zij welhaast onmogelijk uitvoering aan kunnen geven. De beoordeling van de kwaliteit van wetgeving en rechtspraktijk in een derde land in relatie tot de effectiviteit van passende waarborgen is niet een vraag die de gemiddelde bedrijfsjurist eenvoudig kan beantwoorden. Datzelfde geldt voor de gemiddelde IT’er aan wie wordt gevraagd welke vorm van encryptie robuust genoeg is om niet gekraakt te kunnen worden door Amerikaanse veiligheidsdiensten. Toch wordt van bedrijven verwacht dat zij precies deze analyses maken als zij persoonsgegevens willen blijven doorgeven naar landen buiten de EER waarvoor geen adequaatheidsbesluit in de zin van artikel 45 AVG geldt.
Al met al is het belangrijker dan ooit voor elke organisatie om goed te weten binnen welke processen sprake is van doorgiften van persoonsgegevens aan derde landen, wat de grondslag is voor die doorgiften en om bij doorgiften op grond van artikel 46 AVG een uiterst zorgvuldige analyse te maken en deze analyse ook goed te documenteren.
Vragen?
Heeft u vragen over IT, privacy of cybersecurity, neemt u dan contact op met Jeroen van Helden.