Schrems II: Google en Facebook trackers, weg ermee! Of toch niet?

Bron: Nieuws & Blogs

De doorgifte van persoonsgegevens naar landen buiten de EER is onder de Algemene verordening gegevensbescherming (AVG) alleen toegestaan mits er passende waarborgen zijn. Voor de Verenigde Staten werd op basis van het Privacy Shield mechanisme aangenomen dat er een passend beschermingsniveau bestond. De Schrems II-zaak heeft echter roet in het eten gegooid, wat mogelijk grote gevolgen heeft voor het gebruik van de diensten van internetgiganten als Facebook en Google. Want moet het gebruik van deze diensten nu gestaakt worden? Denk bijvoorbeeld aan Google en Facebook trackers: moeten deze verwijderd worden uit applicaties die Europese burgers geïnstalleerd hebben op hun mobiel?

Schrems II

Op basis van de AVG zijn er passende waarborgen, wanneer er een adequaatheidsbesluit is, er gebruik wordt gemaakt van standaard bepalingen die door de Europese Commissie zijn opgesteld, er bindende bedrijfsvoorschriften zijn opgesteld of er sprake is van een van de afwijkingen zoals genoemd in artikel 49 AVG.

Tot voor kort werd op basis van het Privacy Shield aangenomen dat er een passend beschermingsniveau was voor de verwerking van eventuele persoonsgegevens in de Verenigde staten. Waren organisaties Privacy Shield-gecertificeerd, dan waren er passende waarborgen en mochten persoonsgegevens dus doorgegeven worden naar bijvoorbeeld een Google of Facebook. Met de Schrems II zaak is dit Privacy Shield ongeldig verklaard, waardoor deze passende waarborg is komen te vervallen. Strikt genomen betekent dit dat er niet zomaar meer persoonsgegevens vanuit de EER naar organisaties in de Verenigde Staten mogen worden doorgegeven. Dit brengt internetgiganten, zoals Google en Facebook, Amerikaanse techbedrijven die hun diensten gebaseerd hebben op het verwerken van persoonsgegevens, waaronder persoonsgegevens vanuit de EER, natuurlijk in de problemen. En met hun, organisaties die gebruik maken van hun diensten.

De informatie die verzameld wordt via diensten zoals Google Analytics, Google DoubleClick en Facebook Custom Audiences, wordt namelijk opgeslagen en verwerkt op de (Amerikaanse) servers van deze internetgiganten. Met toestemming van de websitebezoeker of applicatiegebruiker en het Privacy Shield mechanisme, was de verwerking van persoonsgegevens, die middels deze diensten verkregen worden, in de Verenigde Staten toegestaan. Nu het Privacy Shield ongeldig is verklaard, is dit niet meer het geval en zou het gebruik van deze diensten dus eigenlijk gestaakt moeten worden. Of is er een andere mogelijkheid? 

Doorgifte naar de Verenigde Staten staken

Het vervallen van het Privacy Shield betekent niet meteen dat het gebruik van diensten van Amerikaanse bedrijven direct gestaakt moet worden. Natuurlijk is het meest voor de hand liggende en werkbare advies om alle doorgiften van persoonsgegevens aan organisaties in de Verenigde Staten te staken en te zoeken naar alternatieven binnen de EER. Maar dit zou dan ook betekenen dat de trackers van Google en Facebook inderdaad verwijderd moeten worden uit de applicaties van Europese burgers. Gelukkig zijn er ook andere opties. Zo zou je bijvoorbeeld (contractueel) kunnen vastleggen dat persoonsgegevens niet in de Verenigde Staten verwerkt mogen worden. Maar dit is natuurlijk makkelijker gezegd dan gedaan, want gaan deze internetgiganten hier ook in mee? Dat is nog maar de vraag!

Alternatieve mechanismen

Als alternatief kan het vervallen van het Privacy Shield opgevangen worden door andere passende waarborgen te treffen, zoals het tekenen van de standard contactual clauses (SCC) die door de Europese Commissie zijn opgesteld of door bindende bedrijfsvoorschriften op te stellen. Let er dan wel op dat het Hof van Justitie in de Schrems II zaak besloot dat enkel het tekenen van de SCC’s, of de toepassing van alternatieve mechanismen, niet voldoende is als waarborg. Dit geldt niet alleen voor de Verenigde staten, maar ook voor andere derde landen. Concreet betekent dit dat een organisatie per geval na dient te gaan of de persoonsgegevens voldoende beschermd worden bij doorgifte naar een derde land. Zo dient een organisatie te bepalen of de wetgeving in het onvangende land, in dit geval de Verenigde Staten, in de praktijk leidt tot strijd met de waarborgen uit de AVG en of er aanvullende maatregelen getroffen kunnen worden om de persoonsgegevens passend te beschermen. Enkel als uit deze beoordeling blijkt dat een passend beschermingsniveau gewaarborgd kan worden, is het gebruik van alternatieve mechanismen, zoals de SCC’s toegestaan. Wordt er besloten om door te gaan met de doorgifte van persoonsgegevens naar een land buiten de EER, al dan niet op basis van passende waarborgen, dan dient dit bovendien gemeld te worden aan de nationale toezichthouder. Misschien dus niet de makkelijkste optie, maar wel een mogelijkheid.

Het goede (of eigenlijk ook slechte) nieuws is dat een heleboel organisaties hier tegenaan lopen en dat de verwachting daarom is dat de Europese wetgever en de nationale toezichthouders binnenkort met een praktische oplossing moeten komen, die deze hele situatie wat makkelijker zal maken. In de tussentijd adviseren wij om onze website in de gaten te houden voor de nieuwste ontwikkelen op dit gebied en bij vragen over de Schrems II zaak onze actielijst en FAQ te raadplegen.

Dit bericht is afkomstig van één van de leden van ISP Connect, zie hier de bron.

- Advertisement -