Toelichting Schrems II

Dat werkte totdat een klokkenluider onthulde dat de Amerikaanse inlichtingendiensten toegang hebben tot alle in de VS verwerkte en opgeslagen data. Deze onthulling was voor privacy-activist Max Schrems aanleiding om aan Facebook te vragen welke data Facebook van hem had opgeslagen. Omdat Schrems van Facebook ontwijkende antwoorden kreeg, vroeg Schrems aan de Ierse toezichthouder om actie te ondernemen tegen Facebook, maar dat weigerde deze toezichthouder. In de gerechtelijke procedure die Schrems tegen de Ierse toezichthouder heeft aangespannen, beslist uiteindelijk het Europese Hof van Justitie dat doorgifte van persoonsgegevens vanuit de EU naar de VS op basis van het “Safe Harbour” besluit van de EU verboden is. De rechter prikt door de truc heen. Deze uitspraak van het Europese Hof van Justitie staat bekend als het arrest Schrems I.

Na de uitspraak Schrems I van het Europese Hof van Justitie was er enige paniek in Europa en de VS; de mogelijkheid om persoonsgegevens uit te wisselen moest zo snel mogelijk hersteld worden. Daarom is de regeling van het “Privacy Shield” bedacht. Van begin af aan was echter duidelijk dat dit ook geen houdbare oplossing was. Persoonsgegevens werden in de VS immers nog steeds niet op hetzelfde niveau beschermd als in de EU. Schrems begon daarom weer een gerechtelijke procedure om de regeling van het “Privacy Shield” te laten toetsen door de rechter.

Uiteindelijk stelt het Europese Hof van Justitie in zijn arrest Schrems II van 16 juli 2020 het volgende vast:

• Door de “Patriot Act” en diverse besluiten van Amerikaanse presidenten en de wijze waarop aan deze wet en besluiten blijkens de onthullingen van Snowden invulling wordt gegeven, is eenzelfde niveau van bescherming van persoonsgegevens als in de EU, in de VS niet gewaarborgd.
• Sterker nog, doordat Amerikaanse bedrijven soms toegang hebben tot data die in Europa zijn opgeslagen (bijvoorbeeld voor updates of het verhelpen van storingen) is niet gewaarborgd dat Amerikaanse inlichtingendiensten geen toegang hebben tot deze in Europa opgeslagen data.
• Sterker nog, doordat de Amerikaanse inlichtingendiensten rechtstreeks toegang hebben tot de data die per kabel van de EU naar de VS worden gestuurd (nog vóórdat zij de ontvanger in de VS bereiken), geldt voor deze data dat sowieso geen zelfde niveau van bescherming van persoonsgegevens is gewaarborgd.

Uitwisseling van Persoonsgegevens tussen de EU en de VS blijft volgens het Europese Hof van Justitie mogelijk op basis van SCC’s en BCR’s, maar:

• dan moet de Europese partij die persoonsgegevens naar de VS stuurt wel een due diligence onderzoek doen naar het niveau van bescherming dat de Amerikaanse partij biedt en
• moet de Europese partij er voor zorgen dat op basis van de uit het due diligence onderzoek gebleken tekortkomingen aanvullende bepalingen worden opgenomen, zodat er een gelijkwaardig beschermingsniveau als in de EU, is gewaarborgd.

Hoe deze extra waarborgen er uit moeten zien als de data per kabel naar de VS gaan is volstrekt onduidelijk.

Intussen heeft de Ierse toezichthouder Facebook verboden om nog persoonsgegevens door te geven naar de VS. Om tijd te winnen is Facebook daartegen een procedure begonnen bij de Ierse rechter. Max Schrems heeft intussen bij diverse Europese toezichthouders zoals de Autoriteit Persoonsgegevens klachten ingediend tegen 101 ondernemingen die Google Analytics gebruiken en/of een Facebook pagina hebben. De kans dat ook tegen VolkerWessels een dergelijke klacht is of zal worden ingediend is niet onwaarschijnlijk.

Op 10 november 2020 heeft de European Data Protection Board  (EDPB) een richtlijn uitgegeven, waarin staat dat er na het arrest Schrems II geen overgangsperiode komt en tevens een stappenplan aanbevolen om te gaan voldoen aan de eisen die het Europese Hof van Justitie stelt aan de uitwisseling van persoonsgegevens tussen de EU en de VS.

De eerste stap is inventariseren welke programma’s allemaal persoonsgegevens verwerken en/of opslaan in de VS. Omdat dit een eerste en logische stap is, heeft de Raad van Bestuur al op 26 oktober jl. besloten om deze inventarisatie te gaan uitvoeren en geen nieuwe applicaties en softwareprogramma’s meer aan te schaffen die persoonsgegevens verwerken en opslaan in de VS. Zoals eerder genoemd zal daarnaast geanalyseerd worden welke werkmaatschappijen gebruikmaken van Mailchimp en Google Analytics en welke werkmaatschappijen een Facebook pagina en/of op hun website een button van o.a. Twitter, Facebook en/of Instagram hebben. Bij deze inventarisatie die start bij de ICT afdelingen en waarbij ook de afdelingen Communicatie en HRM betrokken zijn, kunnen de Divisie Privacy Officers van de diverse clusters behulpzaam zijn. Jullie spelen als Contactpersonen Privacy hierin ook een rol, omdat in het verwerkingsregister is opgenomen welke onderaannemers en leveranciers persoonsgegevens verwerken en opslaan in de VS. 

Na deze inventarisatie zal de Privacy Taskforce samen met de ICT afdelingen van de clusters een aanbeveling opstellen voor de Raad van Bestuur hoe VolkerWessels het beste, snelste en goedkoopste kan voldoen aan Schrems II. Het ligt in de lijn der verwachting dat buttons van Amerikaanse Social media zoals Twitter, Facebook en Instagram niet meer toegestaan zullen zijn en dat ook Facebook pagina’s van werkmaatschappijen “op zwart” moeten. Het goede nieuws is dat bij de inventarisatie is gebleken dat Google Analytics op websites die gehost worden door Flink, gebruikt mag blijven worden, omdat Flink maatregelen heeft getroffen om te voldoen aan Schrems II.

Dat de uitspraak van het Europese Hof van Justitie grote gevolgen heeft voor de uitwisseling van persoonsgegevens met de VS staat buiten kijf. Dit is op het gebied van privacy een belangrijke ontwikkeling waarvan nog niet alle consequenties helemaal duidelijk zijn. Wij zullen jullie zo goed mogelijk op de hoogte houden.

Mochten jullie vragen, suggesties en/of opmerkingen hebben, aarzel dan niet om deze te mailen naar de Privacy Taskforce (privacytaskforce@volkerwessels.com).