De VS en persoonsgegevens

De AVG gaat over de privacy van EU-burgers. De privacy van iedereen die in de EU woont of zich hier bevindt, moet worden gewaarborgd. In onze huidige digitale wereld is het verwerken van persoonsgegevens echter niet beperkt tot de EU. Veel bedrijven en personen maken gebruik van online tools en software die ons leven en werk makkelijker en leuker maken. Een groot deel van de aanbieders van die tools en software bevindt zich buiten de EU en veelal in de VS. En aangezien er wel persoonsgegevens mee worden verwerkt, is de AVG van toepassing en moet er een zelfde soort niveau van bescherming zijn. Inmiddels is duidelijk geworden dat het beschermingsniveau in de VS te laag is. Hoe dit zit en mogelijke oplossingen leg ik uit in deze blog.

Doorgifte van persoonsgegevens

Het naar/in een ander land versturen/verwerken van persoonsgegevens wordt ‘doorgifte’ genoemd. De persoonsgegevens worden als het ware van de EU naar een ander land, in dit geval de VS, doorgestuurd. Ook al bedien jij hier in Nederland de knoppen en heb jij alleen hier in Nederland toegang en inzage in de gegevens, als jij gebruik maakt van tools of software in de VS, dan is dit een doorgifte. Je slaat de gegevens op of bewerkt de gegevens via servers en tools in het buitenland. Doorgifte dus..

Doorgifte van persoonsgegevens mag alleen als het specifiek in de AVG is genoemd. De AVG bepaalt dat doorgifte aan een niet EU-land is toegestaan op grond van een paar specifieke vereisten.

Hieronder noem ik eerst de gronden waarop doorgifte is toegestaan. Daarna leg ik uit waarom dit voor de VS niet geldt.

Adequaatheidbeslissing

De Europese Commissie (EC) kan besluiten dat een bepaald land, of een bepaalde bedrijfstak of sector voldoet aan de AVG eisen. Als er zo’n besluit is voor het land waar jij zaken mee wilt doen, dan is het voldoende gewaarborgd dat de gegevens die jij verwerkt veilig zijn.

Passende waarborgen

Als er geen adequaatheidsbeslissing is, dan is doorgifte eventueel toegestaan op grond van modelcontracten en/of een gedragscode of certificering. Een modelcontract moet wel zijn vastgesteld door de EC. Gedragscodes of certificering is alleen toegestaan als er voldoende bindende en afdwingbare maatregelen in staan. Een bedrijf buiten de EU moet echt voldoende waarborgen bieden en moet dus niet onder de privacy verplichtingen uit kunnen.

Bindende bedrijfsvoorschriften

Bij hele grote bedrijven kan het zijn dat er een interne privacy policy is waar iedereen, binnen en buiten de EU, zich aan moet houden. Doorsturen van persoonsgegevens is dan toegestaan en gelegitimeerd. Je zult begrijpen dat hier nog een hoop haken en ogen aan zitten, maar daar ga ik je niet mee vervelen nu.

Uitzonderingen

In de AVG worden natuurlijk ook een hoop uitzonderingen genoemd. Mochten bovenstaande opties niet mogelijk zijn, dan kun je kijken of je onder deze voorwaarden valt. Zo heb je een uitzondering voor als je niet structureel en heel weinig persoonsgegevens doorgeeft naar de VS. Ook als je voor de uitvoering van een overeenkomst met de VS persoonsgegevens moet verwerken, bijvoorbeeld als je een reis moet boeken voor iemand. Op dergelijke uitzonderingen ga ik in dit blog verder niet heel diep in.

Hoe zit het nou met de VS?

Misschien heb je al wel eens van het ‘Privacy Shield’ genoemd. Dit was een soort van overeenkomst waar een hoop Amerikaanse bedrijven zijn aangesloten die voldoende waarborgen zou moeten bieden om aan de AVG eisen te voldoen. Vanaf het begin is hier echter een hoop gedoe over geweest. Niet shockerend dus dat er een rechtszaak over is aangespannen tot aan de hoogste EU rechter. Deze heeft besloten dat de VS geen veilig privacy land is. Een adequaatheidsbeslissing of passende waarborgen kunnen niet geldig als optie meer worden ingezet als het gaat om de VS.

Wat doet de VS verkeerd?

De bedrijven in de VS zelf kunnen er weinig aan doen. Ze willen ongetwijfeld heel graag aan de AVG voldoen en zullen dit van harte vast willen leggen in allerlei contracten en dergelijke. Het heeft alleen allemaal geen enkele zin. Het is namelijk de overheid die roet in het eten strooit.

De Amerikaanse overheid mag namelijk te aller tijden inzage hebben in alle persoonsgegevens die naar de VS worden doorgestuurd. En dat is totaal niet ‘des AVGs’ helaas. En bedrijven kunnen de wetten die de bevoegdheden van hun overheid bepalen natuurlijk niet weg contracteren. Zij zijn onderworpen aan deze wetten. De overheid in de VS is zelf dus niet AVG-proof.

Wat nou als je toch zaken doet met bedrijven in de VS?

Hier is nog niet veel duidelijkheid over gegeven. Ik denk niet dat je direct een boete opgelegd zult krijgen als jij nog met Amerikaanse bedrijven werkt (nog niet!). Er wordt aan alle kanten hard gewerkt om zo snel mogelijk met opties en adviezen hierover te komen. Nog even geduld dus..

Wat je in de tussentijd kunt doen

Ik laat je natuurlijk niet met lege handen zitten. Er zijn natuurlijk wel wat dingen die je kunt doen tot er meer duidelijkheid is.

Toestemming

De AVG laat bijvoorbeeld ruimte voor doorgifte naar landen als de VS op basis van toestemming. Die toestemming moet dan wel uitdrukkelijk zijn gegeven en ook echt betrekking hebben op de doorgifte naar de VS (en natuurlijk met een doel en een grondslag). Ook moet je de betrokkene goed informeren over wat de reden is dat je voor de VS toestemming nodig hebt (dat overheidsgedoe dus). Iemand moet weloverwogen en zonder druk de keuze kunnen maken om toestemming te geven. Geeft hij of zij geen toestemming, dan moet je dus een andere manier zoeken. Er zijn dan ook andere manieren, maar die zijn niet snel van toepassing en laat ik hier buiten beschouwing.

Privacyverklaring

Bovenop de toestemming komt je privacyverklaring. Hierin moet je heel duidelijk naar voren laten komen dat je gegevens doorgeeft aan de VS, in welke gevallen, welke informatie wordt doorgegeven en natuurlijk doel en grondslag.  Ook als je geen toestemming vraagt (wat dus op dit moment eigenlijk wel nodig is) moet je dit erin verwerken.

Andere aanbieders zoeken

Als je geen toestemming wilt of kunt vragen aan je klant voor doorgifte aan het buitenland, dan zul je iemand anders moeten zoeken. Als jij structureel en/of grote hoeveelheden persoonsgegevens verwerkt met tools of software (of anders) in de VS, dan heb je gewoon echt een grond nodig en die geeft de AVG niet. Wil jij echt geen boete riskeren? Dan rest je niks anders dan een aanbieder binnen de EU zoeken die hetzelfde kan als jouw Amerikaanse optie.

Mogen gegevens ooit weer naar de VS?

Ik hoop het van harte. Het is even ondenkbaar als onwerkbaar als hier geen oplossing voor wordt gevonden.

De uitspraak over het Privacy Shield is nog maar een maand of 4 oud en er wordt hard gewerkt aan een oplossing. Tot die tijd is het roeien met de riemen die je hebt.

Zorg er dus voor dat jij precies weet welke gegevens jij verwerkt en of je daarbij derden uit de VS inschakelt. En dat is echt al sneller dan je denkt. Denk bijvoorbeeld aan zoom, outlook, je cloudopslag en Google Analytics. Allemaal Amerikaanse bedrijven.

Zodra er meer duidelijkheid is kom ik bij je terug!