Wat betekent de recente uitspraak van het Hof van Justitie van de EU over de transfer van persoonsgegevens naar de VS?
Afgelopen donderdag deed het Hof van Justitie van de Europese Unie voor de tweede keer uitspraak over de transfer van persoonsgegevens naar de Verenigde Staten. Dat was in 2016 al gebeurd over het zogenaamde Safe Harbor-regime, wat ongeldig was verklaard. Nu ging het om Privacy Shield, de opvolger van Safe Harbor. Tot vrijwel niemands verrassing gebeurde daar hetzelfde mee. Maar het Hof nam een aantal minder verwachtte posities in en heeft en passant ook nog de privacytoezichthouders met een probleem opgezadeld.
Ter opfrissing van het geheugen: al voor de invoering van de Algemene Verordening Gegevensbescherming (AVG) was de hoofdregel dat persoonsgegevens niet buiten de Europese Economische Ruimte mogen worden gebracht. Deze zogenaamde transfers naar derde-landen zijn alleen bij uitzondering toegestaan. Voor de praktijk zijn drie van die uitzonderingsmechanismen van belang: adequaatheidsbesluiten (waar Privacy Shield er één van was), standaardclausules en zogenaamde Binding Corporate Rules.
Reden voor deze belemmering van datastromen was, en is nog steeds, dat de betrokken burgers altijd hun recht op bescherming van hun privacy uit moeten kunnen uitoefenen. In derde-landen, zonder een equivalent van de AVG, zou er dan ontwijking van de regels plaats kunnen vinden, wat afbreuk zou doen aan ons grondrecht op privacy.
Complicerende factor bij veel derde-landen is dat niet alleen wetgeving vergelijkbaar met de AVG ontbreekt, want hier is met zelfregulering nog wel deels een mouw aan te passen, maar dat de AVG niet op zichzelf staat. Deze verordening is een bouwsteen van een Europees gedachtengoed over privacy als grondrecht, waarbij de AVG als uitwerking van het Europees Handvest ook sterk leunt op een andere grondrechtelijke bouwsteen, maar dan uit dat andere Europese project, de Raad van Europa en het Europese Verdrag voor de Rechten van de Mens. Dat is waar het in Schrems I en Schrems II om draait: kan een stelsel van waarborgen voor de bescherming van persoonsgegevens wel compleet zijn in een context waarin een dergelijke grondrechtelijke inbedding ontbreekt. Daar heeft het Hof opnieuw van gezegd dat de Verenigde Staten die inbedding mist, sterker nog: het feit dat wat de Verenigde Staten in haar (langdurige) grondwettelijke traditie op dit terrein te bieden heeft, is nadrukkelijk niet van toepassing op niet-Amerikaanse burgers buiten Amerikaans grondgebied.
Tot zover het weinig verrassende deel van Schrems II. Interessanter is dat, in tegenstelling tot de zaak Schrems I, de standaardbepalingen (een soort verwerkersovereenkomsten), zoals gepubliceerd door de Europese Commissie, ook onderdeel van de discussie waren geworden. Het Hof oordeelde hierbij niet bij voorbaat dat deze tekort zouden schieten in het geval van de Verenigde Staten, maar wel dat de bevoegde privacytoezichthouders deze zouden moeten beoordelen op gepastheid. Dat is zowel juridisch interessant, want de AVG geeft specifiek aan dat gebruik van dit instrument door een verwerkingsverantwoordelijke of een verwerker geen voorafgaande goedkeuring door de bevoegde privacytoezichthouder vereist (in Nederland de Autoriteit Persoonsgegevens, in België de Gegevensbeschermingsautoriteit). Een nietsvermoedende lezer zou daaruit kunnen opmaken dat de bevoegde privacytoezichthouder daarom niets van gebruik van dit instrument kan vinden. Het Hof oordeelde echter dat deze nog steeds onderworpen zijn aan toezicht. Het Hof heeft aangegeven dat toepasbaarheid van geval tot geval beoordeeld dient te worden.
Praktisch gezien betekent dit dat de diverse toezichthouders in Europa koortsachtig in overleg moeten over de vraag hoe hier mee om te gaan. Daar is een overlegorgaan (de European Data Protection Board) voor, maar het is bepaald geen positief signaal over het fungeren hiervan dat in ieder geval twee Duitse toezichthouders (die van de deelstaten Hamburg en Berlijn-Brandenburg) al hebben aangegeven dat inzet van standaardclausules bij transfers naar de Verenigde Staten categorisch ongepast is, maar dat veel andere toezichthouders, waaronder onze eigen Autoriteit Persoonsgegevens, nog niet zo’n ferm standpunt innemen maar de uitspraak eerst nog bestuderen. Zoveel verschillen, in bij voorbaat ingenomen standpunten, geven weinig hoop op consensus.
Voor verwerkingsverantwoordelijken betekent het hoe dan ook dat opnieuw is aangetoond dat verwerkingen buiten de Europese Economische Ruimte het beste vermeden kunnen worden (met Zwitserland als mogelijke uitzondering). Adequaatheidsbesluiten, en nu dus ook de standaardbepalingens, zijn te fragiel voor activiteiten die vaak niet zomaar van de ene op de andere dag verplaatst kunnen worden.
Walter van Holst is senior adviseur bij Hooghiemstra & Partners