Is de gegevensovereenkomst tussen de EU en de VS al klaar?

Image of Iron Brands

Gepubliceerd op 7 okt 2022 en bijgewerkt op 16 jan 2024 door Iron Brands

Gegevensoverdracht tussen de EU en de VS is momenteel een van de meest besproken onderwerpen in het gegevensbeschermingsrecht. Talloze bedrijven en overheidsinstanties in heel Europa zijn voor hun activiteiten op de een of andere manier afhankelijk van een in de VS gevestigde verwerker. Toch brengen deze gegevensoverdrachten privacyrisico's met zich mee die moeilijk, zo niet onmogelijk, te beperken zijn.

We hebben de gegevensoverdracht al behandeld in een blog waarin het lange verhaal achter de DPA-besluiten tegen Google Analytics wordt samengevat. Deze keer bekijken we gegevensoverdracht echter vanuit een meer algemeen oogpunt en proberen we de juridische kwesties die op het spel staan nader toe te lichten.

  1. Hoe werkt de doorgifte van gegevens onder de GDPR?
    1. Toereikendheidsbesluiten
    2. Standaard contractuele bepalingen
    3. Hoe zit het met andere mechanismen?
  2. Doorgifte van gegevens door de VS. Een lang verhaal in het kort
    1. Schrems I
    2. Schrems II
    3. De 101 klachten
  3. Aanvullende maatregelen voor gegevensoverdracht
    1. Encryptie
    2. Proxyservers
    3. Pseudonimisering
  4. De op risico gebaseerde aanpak
  5. Wat nu?
  6. Updates
  7. Conclusies
Logo of MichelinMichelin chose Simple AnalyticsJoin them

  1. Hoe werkt de doorgifte van gegevens onder de GDPR?
    1. Toereikendheidsbesluiten
    2. Standaard contractuele bepalingen
    3. Hoe zit het met andere mechanismen?
  2. Doorgifte van gegevens door de VS. Een lang verhaal in het kort
    1. Schrems I
    2. Schrems II
    3. De 101 klachten
  3. Aanvullende maatregelen voor gegevensoverdracht
    1. Encryptie
    2. Proxyservers
    3. Pseudonimisering
  4. De op risico gebaseerde aanpak
  5. Wat nu?
  6. Updates
  7. Conclusies
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Hoe werkt de doorgifte van gegevens onder de GDPR?

De GDPR bevat allerlei regels om de gegevensrechten van personen te beschermen. Maar wat gebeurt er als uw gegevens worden doorgegeven aan een derde land buiten de EER?

De GDPR bevat specifiek een hoofdstuk over gegevensdoorgifte, bestaande uit zeven artikelen (44-50). Deze regels moeten ervoor zorgen dat persoonsgegevens bij doorgifte hetzelfde beschermingsniveau genieten1.

Praktisch gezien is een gegevensdoorgifte naar een derde land alleen rechtmatig wanneer zij berust op een van de verschillende mechanismen die in de GDPR worden opgesomd. Om het kort te houden, zullen we ons concentreren op de mechanismen die er in de praktijk echt toe doen: adequaatheidsbesluiten en modelcontractbepalingen.

Toereikendheidsbesluiten

Adequaatheidsbesluiten zijn besluiten van de Europese Commissie die in wezen groen licht geven voor gegevensoverdrachten naar een bepaald land2. Voordat een adequaatheidsbesluit wordt genomen, wordt het rechtssysteem van dat land grondig onderzocht en wordt nagegaan of het een voldoende beschermingsniveau biedt3.

Als u een adequaatheidsbesluit hebt voor de overdracht die u nodig hebt, hebt u geluk. Toereikendheidsbesluiten zijn een gemakkelijke, probleemloze manier om gegevens over te dragen. Zij bestrijken echter slechts een klein aantal landen.

Vergeet niet dat adequaatheidsbesluiten geen politieke besluiten zijn. Dat wil zeggen dat het de Commissie niet vrij staat een land adequaat te verklaren omdat zij het leuk vindt of omdat het een politieke bondgenoot is; zij moet ervoor zorgen dat de doorgifte van gegevens naar dat land daadwerkelijk veilig is en moet daarbij een aantal specifieke criteria in acht nemen. Het Hof van Justitie kan een besluit tot adequaatheid nietig verklaren voor een land dat niet aan deze criteria voldoet, wat twee keer is gebeurd voor de VS.

Standaard contractuele bepalingen

Wanneer u niet kunt vertrouwen op een adequaatheidsbesluit, hebt u een ander mechanisme voor gegevensdoorgifte nodig. Artikel 46 noemt er zes, maar in de praktijk zult u waarschijnlijk gebruik maken van modelcontractbepalingen (SCC's)4.

SCC's zijn een reeks standaardclausules die door de Europese Commissie zijn opgesteld5. Wanneer iemand gegevens doorgeeft aan een derde land, moet hij deze clausules opnemen in een juridisch bindende overeenkomst met de ontvanger. SCC's maken dus idealiter een overdracht veilig door gegevensbeschermingsregels op te nemen in een contract tussen de partijen.

De belangrijkste tekortkoming van SCC's is dat zij de ontvangende staat niet binden. Daarom bieden zij weinig of geen bescherming tegen overheidstoezicht. Dit betekent niet dat SCC's niet kunnen worden gebruikt wanneer het gaat om "onveilige" landen. In dat geval zijn "aanvullende maatregelen" nodig, zoals in het geval van doorgifte van gegevens door de VS.

Met andere woorden, de voor de verwerking verantwoordelijke moet ervoor zorgen dat de SCC's in de praktijk voldoende bescherming bieden, en als dat niet het geval is, moet hij extra maatregelen nemen om de gegevens vertrouwelijk te houden. Zoals we zullen zien, is dit zeer moeilijk wanneer het om overheidstoezicht gaat.

Hoe zit het met andere mechanismen?

Zoals we al zeiden, voorziet de GDPR in andere overdrachtsinstrumenten dan SCC's en adequaatheidsbesluiten6, maar deze worden in de praktijk niet vaak gebruikt. Binding Corporate Rules (BCR's) worden gebruikt om gegevens door te geven binnen filialen van een onderneming. Grote ondernemingen geven er echter doorgaans de voorkeur aan in de EER afzonderlijke vennootschappen op te richten en deze via kapitaalbezit te controleren (denk aan Google Ierland en Meta Ierland). Certificaten en gedragscodes kunnen in de toekomst aan belang winnen, maar worden momenteel niet op grote schaal gebruikt.

Cruciaal is dat al deze instrumenten met dezelfde problemen kampen als SCC's wanneer het gaat om "onveilige" staten, omdat zij de ontvangende staat niet binden (juridisch bindende instrumenten tussen overheidsinstanties zijn de uitzondering, maar particuliere entiteiten kunnen zich er niet op beroepen).

Data transfers under the GDPR

Doorgifte van gegevens door de VS. Een lang verhaal in het kort

Om te begrijpen waar we nu staan met betrekking tot gegevensoverdracht in de VS, moeten we even stilstaan bij een tien jaar durend verhaal van juridische gevechten.

Schrems I

Van 2000 tot 2015 vielen gegevensoverdrachten tussen de EU en de VS onder een overeenkomst inzake gegevensoverdracht, Safe Harbor genaamd.

In 2013 lekte de Amerikaanse klokkenluider Edward Snowden vertrouwelijke documenten over de activiteiten van de CIA en de NSA. De onthullingen bevatten gegevens over gegevensverzamelingsoperaties in bulk die op grote schaal gericht waren op buitenlandse onderdanen en gebaseerd waren op Sectie 702 van de FISA-wet en Uitvoeringsbevel 12333.

Kort na de onthullingen van Snowden diende de Oostenrijkse burger Max Schrems bij de Ierse toezichthoudende autoriteit (DPC) een klacht in tegen Facebook Ierland. Hij stelde dat de overdracht van zijn persoonsgegevens aan Facebook Inc. onveilig en illegaal was vanwege de omvang en de alomtegenwoordigheid van het overheidstoezicht in de VS, zoals gedocumenteerd in de Snowden-dossiers.

In 2015 kwam de zaak voor het Hof van Justitie van de EU, dat Schrems gelijk gaf en de Safe Harbor-regeling ongeldig verklaarde.

Schrems II

De zaak Schrems werd voortgezet en een tweede keer doorverwezen naar het HvJEU. In 2020 stelde het Hof Schrems opnieuw in het gelijk. Het maakte het Privacy Shield ongeldig, een ander kader voor gegevensoverdrachten dat tussen de twee Schrems-arresten het Safe Harbor-regime verving.

Ook de geldigheid van SCC's als doorgiftemechanisme werd in de zaak in twijfel getrokken. Het Hof heeft de SCC's in het arrest niet ongeldig verklaard. Het stelde wel dat aanvullende maatregelen nodig waren om gegevens te beschermen tegen toezichtpraktijken in "onveilige" landen zoals de VS. Met andere woorden, het Hof "spaarde" de SCC's, maar maakte ze ook ingewikkelder en lastiger te gebruiken.

In het algemeen heeft het Schrems II-arrest de overdracht van gegevens naar de VS veel ingewikkelder gemaakt. Nadat het Privacy Shield ongeldig is verklaard, kunnen bedrijven zich niet langer beroepen op een adequaatheidsbesluit en moeten zij in plaats daarvan andere instrumenten gebruiken (meestal SCC's). Zij moeten ook passende aanvullende maatregelen nemen om het risico van overheidstoezicht tegen te gaan.

De 101 klachten

Ondanks de wijdverbreide paniek over gegevensoverdrachten bleven de meeste bedrijven gewoon doorgaan en gegevens naar de VS overdragen alsof Schrems II niet bestond.

Maar direct na het Schrems II-arrest diende noyb (een door Schrems opgerichte privacy-ngo) 101 klachten in over gegevensoverdrachten. De klachten werden ingediend bij de gegevensbeschermingsautoriteiten van verschillende lidstaten en zijn gericht tegen websites die gebruik maken van de Amerikaanse diensten Google Analytics en Facebook Connect. Deze klachten zijn een strategische poging om ervoor te zorgen dat de Europese gegevensbeschermingsautoriteiten het Schrems II-arrest strikt toepassen.

De EDPB (kort voor European Data Protection Board, een Europese instelling waarin alle Europese gegevensbeschermingsautoriteiten zijn verenigd) heeft later een taskforce opgericht om de aanpak van de Europese gegevensbeschermingsautoriteiten ten aanzien van de klachten van noyb te coördineren. Zo te zien heeft de taskforce goed werk verricht: drie gegevensbeschermingsautoriteiten hebben de klachten tegen Google Analytics tot dusver toegewezen, en de Nederlandse gegevensbeschermingsautoriteit heeft verklaard dat zij wellicht zal volgen. In een recent persbericht heeft ook de Deense gegevensbeschermingsautoriteit dezelfde aanpak omarmd en het gebruik van Google Analytics onwettig verklaard.

Maar de kwestie is groter dan GA. De redenering die ertoe leidde dat Google Analytics in sommige lidstaten werd verboden, kan ooit leiden tot een verbod op vele andere diensten, waaronder clouddiensten die momenteel praktisch onmisbaar zijn voor de Europese economie.

Aanvullende maatregelen voor gegevensoverdracht

En nu de miljard dollar vraag: welke aanvullende maatregelen zijn effectief tegen Amerikaanse surveillance?

Het EDPD heeft in zijn richtsnoeren inzake aanvullende maatregelen enkele oplossingen voorgesteld, maar het zijn er maar weinig, en ze hebben allemaal aanzienlijke beperkingen. Er zij op gewezen dat dit slechts algemene suggesties zijn: er is geen eenduidig antwoord op de vraag, aangezien beschermingsmaatregelen per geval moeten worden gekozen en geëvalueerd.

Encryptie

Er moet een fundamenteel onderscheid worden gemaakt tussen end-to-endencryptie en andere vormen van encryptie.

End-to-end-versleuteling kan een doeltreffende beveiliging zijn7. Zij beperkt echter ook wat met de gegevens kan worden gedaan. Sommige verwerkingen zijn moeilijker bij versleutelde gegevens, en voor andere is gewoon toegang tot sommige gegevens in het geheim nodig. De aanbieder van een end-to-end gecodeerde e-maildienst moet bijvoorbeeld het adres van de afzender en de ontvanger ongecodeerd verwerken om de post te kunnen bezorgen. Deze informatie is nog steeds persoonsgegevens in de zin van de GDPR.

Anderzijds is niet-end-to-end versleuteling nooit een doeltreffende waarborg. Als de dienstverlener een ontcijferingssleutel bezit8, kan hij verplicht worden deze samen met de versleutelde gegevens te overhandigen onder FISA. Met andere woorden, uw gegevens zitten in een kluis, maar de bedrijven kunnen gedwongen worden de sleutel te overhandigen. Dit is de reden waarom de Oostenrijkse, Franse en Italiaanse gegevensbeschermingsautoriteiten alle de gegevensversleuteling van Google Analytics als irrelevant afwezen bij de behandeling van de klachten van noyb.

Voor alle duidelijkheid: niet-end-to-end encryptie is nog steeds een nuttige cyberbeveiligingsmaatregel, omdat het effectief beschermt tegen aanvallen. Het helpt alleen helemaal niet bij Amerikaanse gegevensoverdrachten.

Proxyservers

De Franse DPA heeft proxyservers voorgesteld als een effectieve beveiliging voor het gebruik van Google Analytics. Dat zijn ze ook, maar ze kunnen niet voor alle gegevensoverdrachten worden gebruikt. Ze zijn ook omslachtig en duur om uit te voeren, zoals de Franse gegevensbeschermingsautoriteit zelf erkent.

Het idee is in theorie eenvoudig: in plaats van de gegevens rechtstreeks naar Google te sturen, laat u ze via een proxyserver lopen en filtert of anonimiseert u alle persoonsgegevens voordat u ze naar Google stuurt.

Het addertje onder het gras: u moet Google Analytics hosten en uitvoeren op uw eigen server. Dit betekent dat u de server moet onderhouden en de software handmatig up-to-date moet houden, bovenop het schrijven van code om persoonlijke gegevens te anonimiseren. Dit is veel ingewikkelder en duurder dan betalen voor een GDPR-conform alternatief.

Bovendien vereist deze oplossing volledige controle over de infrastructuur. Dit is geen aantrekkelijke optie voor het gebruik van clouddiensten, aangezien het belangrijkste voordeel van clouds is dat je om te beginnen geen fysieke infrastructuur nodig hebt.

Pseudonimisering

De EDPB stelt ook pseudonimisering voor9. In een notendop betekent pseudonimisering dat u alleen gegevens kunt overdragen die niet kunnen worden gebruikt om de betrokkene opnieuw te identificeren, zelfs niet in combinatie met andere gegevens.

Pseudonimisering is geen anonimisering onder de GDPR, maar het kan zeker een nuttige privacymaatregel zijn. Het kan ook moeilijk zijn om het correct toe te passen. Het vervangen van identificatoren door pseudoniemen is niet voldoende, omdat u mogelijk veel andere potentieel identificerende gegevens moet verwerken en overdragen. In sommige gevallen zal een correcte pseudonimisering van alle gegevens die u doorgeeft onmogelijk zijn of de verwerking praktisch nutteloos maken.

De voor de verwerking verantwoordelijke moet ook rekening houden met gegevenskoppeling, dat wil zeggen de mogelijkheid dat iemand de betrokkene opnieuw identificeert door de geëxporteerde gegevens te combineren met andere informatie waarover hij beschikt. Het beoordelen van het risico van heridentificatie is moeilijk wanneer het gaat om overheidstoezicht, omdat inlichtingendiensten veel informatie verzamelen over veel mensen en niet transparant zijn over de informatie waarover zij beschikken - dat is tenslotte hun werk.

do you really need google analytics

De op risico gebaseerde aanpak

Sommige bedrijven hanteren een op risico gebaseerde benadering van gegevensoverdrachten. Zij stellen in wezen dat een doorgifte veilig en rechtmatig is wanneer de kans klein genoeg is dat de doorgegeven gegevens onder toezicht komen te staan.

Hoofdstuk V van de GDPR verwijst echter nooit naar het begrip risico10, en in het Schrems II-besluit wordt de waarschijnlijkheid dat gegevens aan toezicht worden onderworpen, nooit in overweging genomen. Daarom hebben de EDPB, de EDPS11 en de Oostenrijkse en Italiaanse gegevensbeschermingsautoriteiten12 de risicogebaseerde aanpak uitdrukkelijk verworpen.

Voor alle duidelijkheid: bij de doorgifte van gegevens moet een exporteur nagaan of de specifieke gegevens die hij uitvoert überhaupt onder "problematische" toezichtwetgeving vallen. Deze vraag is noodzakelijk voor de evaluatie van gegevensoverdrachten en mag niet worden verward met de risicogebaseerde aanpak die de gegevensbeschermingsautoriteiten momenteel verwerpen.

Het antwoord op deze vraag zal "ja" zijn voor de meeste (zo niet alle) doorgiften, omdat het toepassingsgebied van FISA in de praktijk vrij ruim blijkt te zijn - zoals bevestigd door de Snowden-papers.

Wat nu?

Zoals we hebben gezien, is gegevensoverdracht momenteel een juridisch raadsel. Er zijn zeer weinig effectieve waarborgen en voor sommige overdrachten zijn er helemaal geen waarborgen. Tegelijkertijd evolueren de autoriteiten naar een strengere aanpak van gegevensoverdrachten.

Dit is natuurlijk groter dan alleen Google Analytics. Een streng standpunt over gegevensoverdracht zou het onwettig kunnen maken om veel in de VS gevestigde dienstverleners te gebruiken, waaronder clouddiensten, die momenteel praktisch onvervangbaar zijn.

Daarom is gegevensoverdracht een zeer delicate kwestie. Enerzijds mogen de privacywaarborgen van de GDPR niet worden ondermijnd door gegevensoverdrachten. Anderzijds is het onredelijk om de last van de naleving volledig op bedrijven af te schuiven. Bedrijven dwingen GA te dumpen ten gunste van andere analysetools is één ding. Van hen verwachten dat ze het zonder Oracle of AWS stellen is iets heel anders.

Daarom moet er ooit een politieke oplossing komen. De Europese Commissie en de Amerikaanse regering werken momenteel aan een andere overeenkomst inzake gegevensoverdracht, en binnenkort wordt een uitvoeringsbesluit over gegevensoverdracht van president Biden verwacht. De VS hebben hun surveillancewetgeving echter niet gewijzigd sinds het Schrems II-arrest, en zonder dergelijke wijzigingen zal een nieuw kader voor gegevensoverdracht een Schrems III-arrest wellicht niet overleven.

Updates

Het nieuwe kader voor gegevensoverdracht is goed op weg. De Amerikaanse president Joe Biden publiceerde in oktober 2022 een uitvoerend bevel over bewakingsactiviteiten en de Europese Commissie publiceerde twee maanden later een ontwerpbesluit inzake adequaatheid. Het ontwerp moet nu door de EU-lidstaten worden goedgekeurd om van kracht te worden.

Noyb is van plan het besluit aan te vechten bij het Hof van Justitie van de EU, dus we kijken uit naar een komende Schrems III-uitspraak. Het nieuwe kader is complex en het is moeilijk te zeggen hoe het zal uitpakken, maar het risico bestaat dat het Hof het zoveelste kader voor gegevensoverdracht ongeldig verklaart. Op dit moment is de toekomst van gegevensoverdrachten nog onzeker.

In een andere belangrijke ontwikkeling werd een ontwerpbesluit van de Ierse gegevensbeschermingsautoriteit om de gegevensoverdrachten van Meta Ireland voor Facebook stop te zetten in januari 2023 voorgelegd aan de EDPB nadat andere gegevensbeschermingsautoriteiten hiertegen bezwaar hadden gemaakt. De EDPB zal de zaak in de komende maanden regelen met een bindend besluit. Dit is een opvallende zaak en zal waarschijnlijk gevolgen hebben voor de manier waarop andere gevallen van gegevensoverdracht in heel Europa worden behandeld.

Conclusies

Ook al zullen de problemen rond gegevensoverdracht in de nabije toekomst aanhouden, bedrijven kunnen zich beschermen door gebruik te maken van EU-alternatieven voor Amerikaanse clouddiensten.

De GDPR is er om de gegevens van EU-burgers te beschermen. Het naleven van de wet zou voor elk bedrijf een prioriteit moeten zijn. Daarnaast vinden wij dat bedrijven verder moeten gaan dan alleen het naleven van de wet.

Het internet zal een betere plaats zijn als organisaties hun activiteiten uitvoeren zonder te vertrouwen op privacy-invasieve tools zoals Google Analytics. Het is het juiste om te doen vanuit een ethisch standpunt. Daarom hebben we Simple Analytics gebouwd, een privacy-eerst Google Analytics-alternatief dat cookieloos is ontworpen en geen persoonlijke gegevens verzamelt terwijl het de inzichten verschaft die u nodig hebt.

Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Als dit met u resoneert, probeer ons dan gerust uit.

#1 Art. 44(2) GDPR. [^2]: Art. 45 GDPR. [^3]: Art. 45(2) GDPR [^4]: Art. 46, lid 2, onder c), GDPR [^5]: Technisch gezien zou een gegevensbeschermingsautoriteit haar eigen SCC's kunnen opstellen en deze ter goedkeuring aan de Commissie voorleggen (art. 46(2)(d) GDPR). Maar in de praktijk bedoelen mensen die het hebben over SCC's altijd die van de Commissie [^6]: Art. 46 GDPR [^7]: EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Version 2.0, par. 84. [^8]: EDPB-aanbevelingen 01/2020 inzake maatregelen ter aanvulling van overdrachtsinstrumenten om de naleving van het EU-niveau voor de bescherming van persoonsgegevens te waarborgen, versie 2.0, par. 81. [^9]: EDPB-aanbevelingen 01/2020 inzake maatregelen ter aanvulling van overdrachtsinstrumenten om de naleving van het EU-niveau voor de bescherming van persoonsgegevens te waarborgen, versie 2.0, par. 85. [^10]: De GDPR hanteert wel een risicogebaseerde aanpak voor sommige nalevingsverplichtingen (bijvoorbeeld beveiligingsverplichtingen op grond van art. 32 GDPR), maar dat is niet het geval bij gegevensoverdrachten [^11]: EDPB-EDPS Gezamenlijk advies 2/2021 over modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen, par. 86 en 87. [^12]: Het argument werd niet aangevoerd voor de Franse CNIL.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode