Verwerking en doorgifte van persoonsgegevens bij het gebruik van Amerikaanse clouddiensten

Dit artikel schetst een aantal relevante privacyaspecten bij het gebruik van clouddiensten van Amerikaanse leveranciers.

Online diensten zijn niet weg te denken. Een online trainingsproduct voor medewerkers, een HR-administratie in de cloud, Microsoft 365, Google Docs, Zoom of gewoon een ogenschijnlijk simpele tool voor websiteanalyse: er zijn vele mooie en heel nuttige producten die via internet als dienst worden aangeboden, al dan niet met een bijbehorende app of software. We doen onszelf tekort door deze rijkdom niet in te zetten voor de doelstellingen van onze organisatie.

Zodra in een online dienst persoonsgegevens worden gebruikt is de vraag wat de leverancier van de dienst met deze persoonsgegevens doet: de verwerking of doorgifte moet immers in overeenstemming met de Algemene Verordening Gegevensbescherming[1] (AVG) plaatsvinden.

Regelmatig worden deze online diensten aangeboden door partijen die gevestigd zijn in de Verenigde Staten. Of voor een deel van hun aangeboden dienstverlening afhankelijk zijn van een partij die vanuit daar werkzaam is. In dat geval is de kans reëel dat er persoonsgegevens worden doorgeven aan en/of worden verwerkt in de VS. Sinds het Schrems II-arrest van het Europese Hof van Justitie[2] is dat een probleem en dit wordt bevestigd in recent aanhangig gemaakte procedures waarin naleving van het verbod op doorgifte van persoonsgegevens naar de VS wordt afgedwongen.

Het achterhalen welke partij nu exact welke verwerking doet bij een dergelijke online dienst kan een uitdaging zijn. Hoewel de AVG vereist dat een verwerkingsverantwoordelijke hier volledig inzicht in heeft en dit inzicht verschaft aan de betrokkene, is dat in de praktijk vaak een uitdaging. Het gevolg: een lastige zoektocht voor de juridische afdeling samen met de interne opdrachtgever met als kernwoorden DPIA en DTIA.[3]

Het wettelijke uitgangspunt 

De AVG laat doorgifte van persoonsgegevens naar jurisdicties die geen onderdeel uitmaken van de Europese Economische Ruimte (EER) alleen toe onder specifieke voorwaarden. Met als meest gebruikte mogelijkheden doorgifte op basis van adequaatsbesluiten van de Europese Commissie en doorgifte onder toepasselijkheid van Standard Contractual Clauses.

In een adequaatheidsbesluit verklaart de Europese Commissie het beschermingsniveau in een bepaalde niet EER-jurisdictie passend (artikel 45 AVG) en kunnen persoonsgegevens zonder verdere aanvullende maatregelen worden doorgegeven naar die jurisdictie. Voorbeelden van adequaat verklaarde jurisdicties zijn: Israël, Japan, Nieuw Zeeland, Verenigd Koninkrijk en Zwitserland.[4]

Bij toepassing van de Standard Contractual Clauses (SCCs) (art 46 lid 2 c / d AVG) komen partijen passende waarborgen en afdwingbare rechten en doeltreffende rechtsmiddelen voor betrokkenen overeen aan de hand van een standaardovereenkomst die door de Europese Commissie voor dit doel is gepubliceerd. Deze SCCs moeten dan opgenomen zijn in de verwerkersovereenkomst en conform de voorgeschreven teksten luiden. Aanvullingen op deze teksten zijn slechts toegestaan voorzover deze geen afbreuk doen aan de SCCs zelf.

Voor beide grondslagen geldt dat het betreffende derde land een niveau van bescherming van de persoonsgegevens moet kennen dat gelijkwaardig is aan die in EER of dat een dergelijk niveau wordt bereikt door het treffen van aanvullende maatregelen.

Doorgifte van persoonsgegevens naar de VS 

Tot het moment waarop het Europese Hof van Justitie haar Schrems II-arrest wees, was doorgifte van persoonsgegevens naar partijen gevestigd in de VS mogelijk op basis van een adequaatheidsbesluit van de Europese Commissie, gebaseerd op het Privacy Shield-verdrag van 1 augustus 2016, mits deze partijen (zelf)gecertificeerd waren onder dit Privacy-Shield framework. In haar arrest van 16 juli 2020 verklaarde het Europese Hof van Justitie het betreffende adequaatheidsbesluit echter ongeldig vanwege het invasieve karakter van de monitoringsprogramma’s van Amerikaanse inlichtingen- en veiligheidsdiensten en de afwezigheid van voldoende mogelijkheden om als betrokkene op te komen tegen een vermeende schending. Kort en goed werd geoordeeld dat de VS geen passend (of een met de AVG gelijkwaardig) beschermingsniveau voor persoonsgegevens bieden. Het gevolg van dit arrest was dat met één pennenstreek doorgifte van persoonsgegevens naar de VS in principe niet langer is toegestaan.

Een lichtpuntje in het arrest werd gevormd doordat het Europese Hof van Justitie niet eveneens een streep haalde door het gebruik van SCCs. Het Hof was echter wel van oordeel dat het enkele gebruik van SCCs niet voldoende was en dat, afhankelijk van de lokale omstandigheden, een afdoende beschermingsniveau alleen te realiseren is als er naast de SCCs aanvullende maatregelen getroffen worden. Die aanvullende maatregelen werden vervolgens door de EDPB onder andere nader ingevuld als het gebruik van pseudonimisering of encryptie waarbij de sleutel niet beschikbaar is voor partijen in de VS.[5]

Ontwikkelingen sinds Schrems II

Het Schrems II-arrest werd door de Europese Commissie aangegrepen voor een actualisering van de destijds al langer geldende maar verouderde SCCs. Op 4 juni 2021 publiceerde de EC een nieuwe set SCCs[6], waarmee tegemoet werd gekomen aan een bestaande behoefte in de praktijk om ook de doorgifte van verwerker aan verwerker en verwerkingsverantwoordelijke aan verwerkingsverantwoordelijke te kunnen vastleggen. In het veel voorkomende geval waarin een verwerkingsverantwoordelijke een Amerikaanse verwerker inschakelt is module 2 van deze SCCs relevant. In artikel 8.6 daarvan is de aanbeveling dat pseudonimisering en encryptie waarbij de sleutel niet beschikbaar is voor de partijen in de VS als ‘passend beveiligingsniveau’ verwoord.

Later oordeelde de Oostenrijkse autoriteit persoonsgegevens bij besluit van 21 december 2021 dat de SCCs en de technische en organisatorische maatregelen voor het gebruik van Google Analytics niet afdoende zijn, omdat deze de toegang door Amerikaanse inlichtingendiensten niet daadwerkelijk beperken.[7]

Dit oordeel is aanleiding geweest voor de Nederlandse Autoriteit Persoonsgegevens om per januari 2022 bij de handleiding inzake het privacyvriendelijk instellen van het veel gebruikte Google Analystics te waarschuwen dat gebruik van Google Analytics mogelijk binnenkort niet langer is toegestaan.[8]

Verder zijn er 101 klachtprocedures gestart bij de diverse nationale autoriteiten in de 27 EU lidstaten en 3 EER staten inzake illegale doorgifte van persoonsgegevens naar de VS.[9]

In één daarvan, wederom betreffende Google Analytics, oordeelde de Franse autoriteit persoonsgegevens (CLIN) op 10 februari 2022 dat de doorgifte naar de VS illegaal is en verordonneerde een website operator dit gebrek binnen één maand te herstellen en indien nodig het gebruik van Google Analytics te staken.[10]

Uit de Franse uitspraak wordt duidelijk dat het structureel hanteren van diensten en producten waarin persoonsgegevens naar de VS worden doorgegeven continuïteits-risico’s kan veroorzaken.

Hoe weet je of persoonsgegevens naar de VS worden doorgegeven?
– analyse van de online dienst en eventuele bijbehorende (software)applicatie

De vraag of in een online dienst persoonsgegevens worden doorgegeven naar de VS is vaak niet eenvoudig te beantwoorden, althans niet als de leverancier niet volledig openheid van zaken geeft.
Van dat laatste is helaas regelmatig sprake. Leveranciers zijn niet direct gebaat bij volledige transparantie, omdat doorgifte naar de VS een drempel kan vormen voor afname van de dienst door partijen in de EU. Maar ook komt voor dat leveranciers het zich simpelweg onvoldoende lijken te realiseren. De standaard aangeboden verwerkersovereenkomsten die volledig inzicht zouden moeten verschaffen in welke persoonsgegevens door wie verwerkt worden, verschaffen dat inzicht vaak niet.

Een uitvoerige analyse door de afnemer is daarom meestal noodzakelijk. Ook voor diensten die op het eerste gezicht beperkt van omvang zijn. Zo kan door middel van een minieme MS Word-plugin waarmee massamailings worden gefaciliteerd, mogelijk een compleet klanten(e-mail)bestand doorgegeven aan een verwerker in de VS. Of dergelijke data in de VS belanden weet je vaak pas na gedegen analyse van de werking van zo’n plugin.

Een Data Protection Impact Assessment (DPIA, art 35 AVG) en een Data Transfer Impact Assessment (DTIA)[11] bieden ondersteuning bij de beoordeling van uitgebreide diensten. Maar dergelijke analyses zijn zeer bewerkelijk en vergen enig inzicht in de technische aspecten van de af te nemen dienst. En gaan daarmee vaak de mogelijkheden van de juridische afdeling te boven of vergen ten minste een actieve en inhoudelijke betrokkenheid van de eigen IT-organisatie.

De DPIA wordt bovendien door de AVG ook niet vereist bij verwerkingen met een beperkt risico. De DPIA is het instrument om te hanteren indien verwerking die “een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen” plaatsvindt. Maar zonder enige vorm van DPIA en DTIA is lastig te bepalen of persoonsgegevens in de VS belanden. En dus ook of het echt wel om een klein risico gaat.

Verlichting van deze taak kan wellicht worden gevonden door de informatieverschaffing op dit punt door de leverancier van de dienst als factor mee te wegen in de vraag of de dienst überhaubt voor gebruik door de eigen organisatie in aanmerking komt. Terecht kan de vraag worden gesteld of een leverancier die niet actief inzicht kan (of wil) verschaffen in zijn gehele doorgifte- en verwerkingsketen een partij is waarmee je als verwerkingsverantwoordelijke een relatie wenst aan te gaan.

Hoe nu verder?

Op dit moment worden onderhandelingen over een vervanger van het Privacy Shield gevoerd tussen de Europese Commissie en vertegenwoordigers van de VS.[12] Recent zijn daarover voorzichtig positieve signalen in de (vak)media verschenen. De uitkomst van die onderhandelingen zal niettemin op enig moment bloot staan aan een toetsing door het Europese hof. De vraag is daarbij, zolang de VS haar veiligheidswetgeving niet aanpast, of een nieuw Privacy Shield (3.0?) een lang leven beschoren zal zijn.[13] Het is duidelijk dat de verlenging van de juridische onzekerheid die hiermee samenhangt ongewenst is.

Een hoopgevende ontwikkeling is dat grote Amerikaanse partijen zoals Zoom en Microsoft hun dienstverlening aanpassen om de opgeworpen bezwaren in het Schrems II-arrest te ondervangen. Zo past Zoom end-to-end encryptie toe op alle klant data en voor belangrijke delen daarvan beschikt Zoom niet over de decryption-key. Bovenal heeft Zoom verklaard om eind 2022 een dienstverlening die zich volledig in de EER bevindt te hebben opgezet.[14] Microsoft verbindt zich tot allerhande juridische instrumenten om de privacy van haar gebruikers te beschermen, zoals het commitment zich in rechte te verzetten tegen een informatieopvraag en uitbetaling van schadevergoeding, ook indien mededeling van deze opvraag aan de verwerkingsverantwoordelijke verboden is maar waardoor de opvraag toch kenbaar is aan de verwerkingsverantwoordelijke.[15] Feit blijft echter dat een behoorlijk deel van de leveranciers in mindere of meerdere mate gebruik zullen blijven maken van elementen die zich in de VS bevinden.

Eindconclusies

Het voorgaande brengt ons tot eindconclusies en aanbevelingen:

1. Het is lastig voor te stellen hoe clouddiensten waarbij persoonsgegevens worden doorgeven aan en/of worden verwerkt in de VS mogelijk zijn zonder dat, naast het gebruik van de SCCs, de persoonsgegevens versleuteld danwel gepseudonimiseerd zijn en de VS entiteit niet beschikt over de key daarvan;
2. Zonder het treffen van aanvullende maatregelen is het doorgeven van persoonsgegevens naar de VS illegaal en stelt de verantwoordelijke bloot aan de sancties van de AP;
3. Er is een ontwikkeling gaande waarin gebruik van sommige onlinediensten op korte termijn door toezichthouders de facto verboden wordt, wat een uitdaging kan vormen voor organisaties om processen waarin gebruik wordt gemaakt van deze diensten te continueren;
4. Het is raadzaam om in onderhandelingen met partijen die persoonsgegevens naar de VS overbrengen aan te dringen op verwerking van persoonsgegevens door een groepsmaatschappij die in de EER is gevestigd. Onze ervaring is echter dat kleine partijen hiertoe niet altijd bereid of in staat zijn;
5. De juiste en volledige informatieverschaffing over de verwerking van persoonsgegevens en het gebruik van subverwerkers is een nuttige weegfactor in de vraag of de dienst überhaubt voor gebruik door de eigen organisatie in aanmerking komt. Zonder openheid van zaken is het voor vele organisaties niet mogelijk een analyse van de doorgiftestructuur te maken en dus een Data Protection Impact Assessment (DPIA) en de Data Transfer Impact Assessment (DTIA) naar behoren uit te voeren.

Door de NGB Werkgroep Digitalisering, op voorzet van mr. Willem-Jan Ribberink en mr. Rob Haen.

Met medewerking van:

• Mr. Jur Deckers van de Sectie Privacy-recht voor controle op de eindtekst; en
• Mr. Debby Sikking bij het overdenken van de initiële opzet van dit artikel.

[1] Verordening (EU) 2016/679
[2] https://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=NL
[3] Data Protection Impact Assessment en Data Transfer Impact Assessment
[4] https://ec.europa.eu/info/law/law-topic/data-protection/international-d…
[5] EDPB aanbevelingen 01/2020 inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen
[6] https://autoriteitpersoonsgegevens.nl/nl/zoekresultaten?sort_by=search_api_relevance_1&cbp_date=&cbp_date_1=&search_api_views_fulltext=analytics&op=Zoeken
[7] https://noyb.eu/en/101-complaints-eu-us-transfers-filed
[8] 10 februari 2022 https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply
[9] Uitvoeringsbesluit (EU) 2021/914
[10] Zie meer in detail p. 38/39 Standarderledigung Bescheid (noyb.eu) https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf
[11] Vloeit voort uit drie eisen:

1. Die uit Schrems II dat partijen verifiëren van geval tot geval of de wetgeving van het derde land adequate bescherming biedt;
2. aanbevelingen van de European Data Protection Board tot een analyse van wetgeving en toegang van autoriteiten tot persoonsgegevens en de documentatie daarvan;
3. De eis van EC 2021/914 art 14 dat partijen garanderen dat er geen reden is gelegen in de wetten en praktijken van het derde land waardoor de verwerker niet aan de GDPR kan voldoen, de plicht tot analyse en documentatie daarvan.

[12] https://www.cnbc.com/2022/03/25/eu-and-us-agree-new-data-transfer-pact-to-replace-privacy-shield.html
[13] https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems en https://noyb.eu/sites/default/files/2022-05/open_letter_EU-US_agreement…
[14] https://www.surf.nl/en/zoom-adapts-approach-to-privacy-after-intensive-collaborative-consultation-with-surf
[15] https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/