Heeft de EU inzake Schrems II een gebrek aan daadkracht laten zien en heeft het daarmee ondernemers in de kou gezet?
Eerder schreef Walter van Holst bij iBestuur al over Schrems II, de uitspraak van het Europees Hof van Justitie over de doorgifte van persoonsgegevens buiten de EER (Europese Economische Ruimte ). Nog even ter herinnering: het Hof oordeelt in die zaak specifiek over de deal tussen de VS en EU om doorgifte van persoonsgegevens naar de VS te borgen: ‘Privacyshield’. En daar heeft het Hof een streep doorheen gezet.
Waarom dan mijn titel ‘smeerboel’? Het is in ieder geval geen (enkel) verwijt aan het Hof. Sterker nog, de uitspraak van het Hof is volkomen terecht. En viel ook te verwachten na de Schrems I uitspraak. Want in Schrems I oordeelde het Hof destijds al dat de Safe Harbor afspraak tussen de EU en de VS (de voorganger van Privacyshield) geen stand kon houden.
Maar het Hof heeft niet alleen Privacyshield afgeschoten, maar ook een kritische noot over de Standard Contractual Clauses (SCC) opgenomen. Je kunt niet volstaan met het simpel ondertekenen van de SCC. Je moet ook toetsen in het land van doorgifte hoe het met de nationale wetgeving zit, en met name of die wetgeving geen afbreuk doet aan de bescherming die je via die SCC’s wilt creëren.
Dat brengt me op mijn punt: het is Europa die er dus een smeerboel van maakt. Zeker als je op je klompen kunt aanvullen dat je nat gaat met Privacyshield. Dat mag niet alleen de EU commissie zich aantrekken (die die afspraak heeft gemaakt en ook de SCC), maar zeker ook de EU-privacywaakhonden. Die EU waakhonden zitten samen in een vehikel genaamd de European Data Protection Board (EDPB). En die hadden deze bui natuurlijk ook (allang) moeten zien hangen.
We zijn inmiddels drie maanden verder, maar nog geen steek opgeschoten. De EU-commissie zegt hard bezig te zijn om de Standard Contractual Clauses te updaten en die komen naar verwachting rond de Kerst. Tegen die tijd zijn we inmiddels een half jaar verder. Met de huidige SCC’s speelt daarbij ook nog steeds het probleem dat er geen variant is voor verwerker/subverwerker. Dus hoe los je op om bijvoorbeeld de cloud van AWS of Azure als subverwerker in te schakelen?
Sterker nog: kan je die überhaupt inschakelen? Microsoft zegt in haar, na Schrems II aangepaste, bijlage ‘Bescherming van persoonsgegevens voor Online Diensten van Microsoft’ nu het volgende:
“Verder is Microsoft gecertificeerd in het kader van de EU-VS- en de Zwitserland-VS-privacyschildraamwerken en de verbintenissen die daaruit voortvloeien, hoewel Microsoft zich gezien de uitspraak van het Hof van Justitie van de EU in zaak C-311/18 niet baseert op het EU-VS-privacyschildraamwerk als rechtsgrond voor de overdracht van persoonsgegevens. Microsoft gaat ermee akkoord de Klant op de hoogte te stellen indien Microsoft tot de vaststelling komt dat Microsoft niet meer kan voldoen aan haar verplichting om dezelfde niveau van bescherming te bieden als op grond van de beginselen van het privacyschild wordt vereist.”
Het is nog maar de vraag of dit voldoet. We weten inmiddels van de Ierse privacywaakhond dat zij de doorgifte naar de VS sowieso uit den boze vindt (en legt Facebook het vuur na aan de schenen op dit punt).
De EDPB is na drie maanden nog niet veel verder dan het benoemen van een taskforce die “will prepare recommendations to assist controllers and processors with their duty to identify and implement appropriate supplementary measures to ensure adequate protection when transferring data to third countries.”
Onze eigen autoriteit persoonsgegevens laat het vooralsnog ook afweten en stelt enkel dit:
“Volgens het Hof kunnen modelcontracten nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd.
Hoe nu verder?
De European Data Protection Board (EDPB) bekijkt wat de praktische gevolgen zijn van de uitspraak. En wat eventuele vervolgstappen kunnen zijn. Op korte termijn komt de EDPB met guidance over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.”
Maar sinds Schrems II op 16 juli van kracht is, zit zo’n beetje heel ondernemend Europa met de handen in het haar en is er niemand die precies weet hoe je nu moet toetsen of in een bepaald land ‘een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd’.
Ik vind het eerlijk gezegd behoorlijk triest wat de EU hier aan daadkracht laat zien, of beter: het gebrek eraan. Je kunt ondernemers op deze manier niet aan hun lot overlaten. Ik heb niet de illusie dat deze oproep van ene Menno Weij van BDO enig verschil zal maken, maar je weet maar nooit. Dus Europa: tijd voor actie!
Menno Weij is partner bij BDO Legal