Het Hof heeft bepaald dat het Privacy Shield niet voldoet aan de eisen die de AVG stelt aan de privacybescherming van EU-burgers in de VS. Dit komt door Amerikaanse surveillancewetgeving. Binnen die wetgeving heeft de Amerikaanse overheid namelijk de mogelijkheid om bijna onbeperkt persoonsgegevens van EU-burgers te verzamelen. Daarnaast hebben EU-burgers geen toegang tot een onafhankelijke Amerikaanse rechtbank om zich te beroepen op hun privacyrechten.
Door de uitspraak is het Privacy Shield tussen de EU en de VS ongeldig. Dit betekent dat het doorgeven van persoonsgegevens naar de VS op basis van het Privacy Shield niet langer is toegestaan. Deze uitspraak is niet alleen belangrijk voor scholen die gebruikmaken van (sub)verwerkerkers uit de VS, maar ook uit andere landen buiten de Europese Economische Ruimte (EER); we noemen dat ook wel derde landen. In dat geval worden er mogelijk persoonsgegevens doorgegeven naar die landen.

Standaardcontractbepalingen én aanvullende maatregelen
Ook het gebruik van Standaard Contractbepalingen (SCC) kwam in de uitspraak aan bod. En dan ging het vooral over het doorgeven van persoonsgegevens naar derde landen. Het afsluiten van SCC is, naast een adequaatheidsbesluit, één van de mogelijkheden binnen de AVG om persoonsgegevens naar een derde land te mogen doorgeven.
Volgens het Hof van Justitie kan dit op zich leiden tot een goede bescherming van de privacy, maar wel onder aanvullende voorwaarden. De betrokken partijen (de partij in de EU die persoonsgegevens verzendt en de partij in het derde land die de persoonsgegevens ontvangt) moeten er in dat geval zeker van zijn dat de wetgeving van het derde land voldoet aan de eis van adequate bescherming van de privacy. Dit betekent dat de wetgeving in het derde land een vergelijkbare privacybescherming moet bieden als de wetgeving in de EU. Het is erg belangrijk dat dit voor het afsluiten van de overeenkomst onderzocht wordt, maar ook wordt gecontroleerd zolang er gegevens worden doorgegeven en/of opgeslagen in het derde land.
De aanbevelingen die de European Data Protection Board (EDPB) op 10 november 2020 heeft gedaan vullen deze eisen verder aan. Als de privacybescherming in een derde land lager is dan in de EU, dan moeten er aanvullende maatregelen worden genomen. Dit kunnen technische maatregelen zijn zoals encryptie of pseudonimisering. Daarbij kan het nodig zijn om aanvullende contractuele afspraken met de leverancier te maken. Ook na het treffen van de maatregelen moet regelmatig worden gecontroleerd of deze maatregelen nog voldoende bescherming bieden.
Wat betekenen deze uitspraak en aanbevelingen?
Het Hof heeft in de uitspraak over het Privacy Shield aangegeven dat de Amerikaanse wetgeving niet voldoet. Door deze uitspraak, moet het doorgeven van persoonsgegevens naar de VS (bijvoorbeeld naar een verwerkers, subverwerkers of andere ontvangende partijen) direct worden gestaakt. De uitzondering is als er alsnog goede afspraken worden gemaakt, bijvoorbeeld in de vorm van SCC met passende aanvullende maatregelen.
Voor scholen is het in de eerste plaats nu vooral belangrijk om geen nieuwe verwerkersovereenkomsten of gegevensuitwisselingsovereenkomsten met organisaties uit de VS af te sluiten, waarbij het doorgeven van persoonsgegevens naar de VS is gebaseerd op het Privacy Shield.
Het doorgeven van persoonsgegevens naar de VS of andere derde landen op basis van een SCC kan in principe nog wel. Maar verwerking en opslag van persoonsgegevens binnen de EER heeft de voorkeur. Mocht het toch noodzakelijk zijn om persoonsgegevens door te geven naar een derde land, zoals de VS , dan is het belangrijk dat er regelmatig gecontroleerd wordt of de wetgeving van het derde land vergelijkbaar is met de privacywetgeving in de EU. Zo niet, dan moeten er passende aanvullende maatregelen worden getroffen.
Door de uitspraak worden alle bedrijven en organisaties in de EU, die persoonsgegevens doorgeven naar de VS op basis van het Privacy Shield en naar derde landen (op basis van SCC), door deze uitspraak geraakt. De Autoriteit Persoonsgegevens heeft aangegeven in gesprek te zijn met de andere toezichthoudende autoriteiten over de praktische gevolgen van deze uitspraak en eventuele mogelijke vervolgstappen.
Wat kunt u als IBP-functionaris voor uw school doen?
- Maak bij voorkeur gebruik van leveranciers die persoonsgegevens binnen de EER (laten) opslaan en verwerken.
- Sluit geen nieuwe verwerkers- of gegevensuitwisselingsovereenkomsten af waarbij doorgifte van persoonsgegevens naar de VS is gebaseerd op het Privacy Shield
- Controleer in uw dataregister bij welke verwerkingen persoonsgegevens worden doorgegeven naar de VS. Ook adviseren wij u om na te gaan op welke basis (Privacy Shield of SCC) die doorgifte plaatsvindt. Zo krijgt u inzichtelijk waar voor uw school de risico’s zitten.
- Vraag uw verwerkers ook om u te informeren of zijzelf, of hun subverwerkers, persoonsgegevens doorgeven naar de VS op basis van het Privacy Shield.
- Bespreek met uw leveranciers de mogelijkheden om persoonsgegevens binnen de EER te verwerken.
- Als verwerking binnen de EER niet tot de mogelijkheden behoort, ga dan na of er mogelijkheden zijn het contract te ontbinden en een vergelijkbare leverancier te zoeken die gegevens wel binnen de EER verwerkt.
- Is dit niet mogelijk sluit dan – als dat nog niet gebeurd is – SCC af en tref in overleg met de leverancier aanvullende maatregelen conform de aanbevelingen van de EDPB.
- Controleer regelmatig samen met de leverancier of deze maatregelen nog voldoende bescherming bieden.
De hoge eisen die de EDPB stelt aan het gebruik van SCC met aanvullende maatregelen vragen veel van bedrijven en organisaties. Er is helaas geen quick fix. Ons advies is om berichtgeving van onder andere de Autoriteit Persoonsgegevens goed in de gaten te houden. Uiteraard volgt Kennisnet de ontwikkelingen ook en onderzoeken we hoe we in samenwerking met scholen dit vraagstuk kunnen agenderen bij leveranciers. Wanneer er meer te vertellen is over dit onderwerp, informeren wij u op kennisnet.nl.
Meer informatie
Meer weten over de uitspraak?