Waarom staat er nog steeds Privacy Shield in privacyverklaringen?

Clker-Free-Vector-Images / Pixabay

Een lezer vroeg me:

Het valt me op dat vele, vele privacyverklaringen nog steeds verwijzen naar het Privacy Shield, bijvoorbeeld bij Amerikaanse verwerkers: “[naam] is self-certified under the US-EU Privacy Shield and we have entered into a Data Processing Addendum with them.” Het Schrems II arrest is van juli vorig jaar, hoezo heeft nog niemand dat geüpdatet?
Inderdaad, als je even snel kijkt dan zie je vele, vele partijen hun inzet van een verwerker of hun verstrekking aan een derde in de VS rechtvaardigen met een verwijzing naar het Privacy Shield. Dat is gek, want in 2020 verklaarde het Hof van Justitie nog dat Amerika niet veilig is voor persoonsgegevens en dat je die er dus niet heen mag brengen vanwege mooie woorden in die Privacy Shield overeenkomst.

Toch  bestaat het verdrag nog steeds. Sterker nog, de VS verwacht nog steeds van gecertificeerde leden dat ze zich aan alle afspraken houden. Amerikaanse partijen blijven dit dus netjes zeggen, en vanuit hun perspectief klopt het ook gewoon. Maar in Europa is het geen rechtsgeldige argumentatie meer.

De zinsnede van de vraagsteller is formeel correct: dat bedrijf staat in de VS op de Privacy Shield lijst, dat klopt. En de Europese afnemer van hun diensten heeft een verwerkersovereenkomst met ze gesloten, dat klopt ook. Twee ware beweringen dus. Maar het is niet zo dat daarmee het Europese bedrijf een grondslag heeft om dit Amerikaanse bedrijf de persoonsgegevens te geven.

De hoogste tijd in ieder geval om die zinsnede eruit te halen, en te vervangen door hoe je het wél doet. Werk je met SCC, de juridische constructie waar het Hof van Justitie nóg niet op geschoten heeft? Of aparte toestemming?

Wil het bij jullie trouwens lukken om Europese equivalenten te vinden voor Amerikaanse clouddiensten?

Arnoud

21 reacties

  1. Meerdere keren per week loop ik tegen prezier dit aan bij verwerkers binnen de EU. Zij hebben, waarschijnlijk in een grijs verleden, de verwijzing naar het Privacy Shield opgenomen in de eigen verwerkingsovereenkomst en dit nooit aangepast. Dit en het bijna dwangmatige opdringen van de eigen verwerkingsovereenkomst maakt het soms lastig om als verwerkingsverantwoordelijke bij deze bedrijven “voet” aan de grond te krijgen.

    De eigen overeenkomst is tenslotte ooit door een FG/jurist opgesteld en dus altijd de juiste is de consensus. Het valt mij erg op dat er, in mijn sector, maar weinig mensen zijn die aan versiebeheer doen en met regelmaat het e.e.a. controleren op recente veranderingen binnen de EU. Het gebruik van een verwerkingsovereenkomst van de verwerkingsverantwoordelijke is daarbij al helemaal een strijd geworden. “Nee meneer, dat doen wij niet. U kunt onze eigen overeenkomst invullen, ondertekenen en dan sturen wij wel een ondertekende versie retour” Erg jammer en het kost zoveel extra tijd.

    1. “Nee meneer, dat doen wij niet. U kunt onze eigen overeenkomst invullen, ondertekenen en dan sturen wij wel een ondertekende versie retour”

      Zulke dingen had ik vroeger ook wel eens (nou ja, één keer, maar bij een grote, viervoudige klant) met een vertaalbureau. Evident onzinnige, verkeerd geformuleerde bepalingen die ik volgens hun dan toch maar moest accepteren, omdat het bij een rechter toch geen stand zou houden. Nou nee, zo werk ik niet.

      Toen moest ik voortaan, bij gebrek aan raamovereenkomst per opdracht een verklaring tekenen, die ook al weer niet deugde, en waarin ik dus trouw stukken doorhaalde. En langzamerhand gingen ze me toen uitfaseren, niet aantoonbaar daarom, maar ik heb mijn vermoedens.

      1. Later ontdekte ik dat de assistent van de directie die die onderhandelingen deed, in werkelijkheid een fotograaf of filmmaker was, dus vertaler noch jurist. Hij liep daar waarschijnlijk stage. Misschien heeft de directie wel nooit geweten hoe hij jarenlange goede relaties met vertalers om zeep zat te helpen. Alle projectmanagers bij alle vier de subbedrijven waar ik zaken mee deed, waren wel uiterst vriendelijk, behulpzaam, flexibel en oplossingsgericht. En ik dan natuurlijk ook.

  2. Ik hoor nog best regelmatig dat het geen probleem is om data/persoonsgegevens te stallen bij de grote cloud jongens, omdat je kan aangeven dat de data alleen op Europese servers mag staan. Een zoek tocht naar alternatieven is dus niet alleen complex maar wordt ook helemaal niet geprobeerd.

    Voor zover ik het begrijp is die aanname niet correct, omdat overheid van een derde-land (voor de grote cloud jongens is dat de VS) nog steeds de opdracht kan geven aan het (Amerikaanse) moederbedrijf om de data aan te leveren. Ook al staat de data in de VS. De “werkende” uitzondering zou zijn wanneer de data versleuteld is opgeslagen en de cloud provider geen toegang heeft tot de sleutels. Azure heeft daar voor bepaalde diensten wel faciliteiten voor maar probeer dat maar eens aan het bestuur uit te leggen. “Ja, voor kan het wel, maar voor niet.”

    Een heldere tekst die mijn (on)begrip van deze nuancering goed weergeeft heb ik helaas nog niet gevonden. (Mocht iemand die wel hebben houd ik me aanbevolen).

    1. De kern is voor mij dat je zakendoet met een Europees bedrijf. Die is klip en klaar aan de AVG onderworpen, en mag dus geen data verstrekken in strijd met de AVG. Het moederbedrijf kan geen operationele opdrachten geven aan een dochter, aandeelhouderschap is geen bevelbevoegdheid. Maar dan nog: dat bevel is in strijd met toepasselijke wetgeving en dat Europese dochterbedrijf valt niet ook onder Amerikaanse wetgeving. Dus de dochter zal weigeren, hoe hard de moeder het ook vraagt en hoe hard de moeder ook klem zit onder Amerikaans recht.

      1. Arnoud

        In de praktijk zal het operationele beheer (van de apparatuur en vooral software) mee vanuit het moederhuis gebeuren. Ik geloof nooit dat er geen operationeel beheer uit het moederhuis plaatsvind, waar trouwens voor betaald zal worden. Nu is het wel voor meer software/hardware systemen zo dat er “remote” ingegrepen kan worden.

        Als er burgers van de USA in de het “Europese” management zitten, vallen deze -volgens mij- ook onder de USA wetgeving.

        Als ik mij niet vergis hebben de Europese takken van enkele grote cloudaanbieders trouwens ook reeds AVG boetes gehad.

        1. Ik neem aan dat het dochterbedrijf dat verantwoordelijk is voor die klantdata, dergelijke remote operators stipt in de gaten houdt. Niet perse vanwege dit risico maar meer algemeen dat externen data kunnen verdonkeremanen of vernielen. Dus dat wordt gelogd en behandeld als security-incident, met alle contractuele gevolgen van dien. Dat kan het moederbedrijf niet voorkomen, omdat de dochter een eigen bedrijfsvoering heeft. Dus dat datalek wordt gemeld onder de AVG.

          Het is onjuist dat directieleden enkel vanwege hun Amerikaans staatsburgerschap hun bedrijf moeten laten voldoen aan Amerikaanse wetgeving of bevelen.

          Het is onjuist dat Europese dochters van Amerikaanse cloudbedrijven AVG boetes hebben gehad voor het meewerken aan Amerikaanse bevelen.

          1. Arnoud

            Juridisch ongetwijfeld correct. Ik verwacht/vrees dat de ICT praktijk anders is.

            Een Amerikaans directielid wil wel nog naar de USA kunnen terugkeren, als hij daar al niet blijft wonen. Los van het feit dat in haar/zijn referentiekader de USA belangrijker is.

            De boetes zijn inderdaad voor andere AVG overtredingen gegeven.

          2. Arnoud, ik was benieuwd hoe je concreet kijkt naar of een partij als Microsoft nu kan functioneren in de EU. Dit lijkt me bij uitstek een partij die een dochter heeft/kan opzetten in de EU. Ik was er wat verder over aan het lezen en kwam daarbij dit artikel tegen: https://techcommunity.microsoft.com/t5/security-compliance-and-identity/eu-data-boundary-for-the-microsoft-cloud-frequently-asked/ba-p/2329098 Daarin staat dit: “At the same time, it’s important to note that any technology provider with sufficient presence in the U.S. – even if it’s based in Europe – is subject to U.S. legal process.” Ik weet niet of dat het definitieve standpunt is van MS, maar dat klinkt weinig hoopgevend voor wat betreft die moeder/dochter route. Maar in principe zou je toch wel zeggen dat het mogelijk moet zijn voor de meeste diensten van MS om zelfstandig door te gaan in de EU. Office 365 om er een te noemen, dat kan ook technisch autonoom in de EU draaien. Je hebt als klant een eigen @domein.naam dus dat kan ook feitelijk naar een Europees adres. Ik vraag me af of je dan niet wel los zou moeten koppelen van outlook.office.com – want anders gaat je verkeer alsnog via een centraal punt, dat in de VS zal zitten. Zullen dit soort partijen nu echt met een aparte entiteit helemaal solo, onafhankelijk in de EU gaan opereren? Of is het gewoon helemaal afgelopen? Het lijkt me haast dat dat de twee opties zijn, niet dat een entiteit uit de VS dus in de EU opereert als ik het goed begrijp? Anderzijds: aangezien de AP stil is op dit gebied, wordt er in de tussentijd gewerkt aan oplossingen (door de EU, VS, de grote partijen) waardoor ‘alles’ gewoon door kan gaan? De AP kan volgens mij, als het zou willen, vrij effectief een campagne voeren tegen het gebruik van de grote partijen. Gewoon een statement: Wie Office 365 gebruikt is illegaal bezig, Maar niets van dat, dat doet vermoeden dat het wel los zal lopen?

  3. Wil het bij jullie trouwens lukken om Europese equivalenten te vinden voor Amerikaanse clouddiensten?

    Ik wil niet wéér reclame maken, en neem geen cloud af, maar een VPS, maar een paar VPS’en zijn een cloud toch? Ik heb er twee, met een op de nominatie om op te zeggen zodra ik klaar ben met experimenteren.

    1. Het gaat er volgens mij om dat persoonsgegevens opslaan op computers van een derde partij goed geregeld moet zijn. Volgens mij maakt het niet uit of er voor die opslag een clouddienst, een VPS of iets anders gebruikt wordt, toch?

  4. Voor eigenlijk alles wat je in de cloud kunt doen weet ik alternatieven die: 1. Aangeboden worden door Europese bedrijven (zonder Amerikaanse moeder) 2. Die beheerd worden vanuit Europa (voor zover je eigen beheerders binnen Europa zitten) Het enige is dat er soms nog wat beperkingen zijn of de prijs anders is. Daarnaast zijn ze vaak minder bekend.

  5. Dankzij Schrems II lijkt de discussie alleen maar over Amerikaanse cloud providers te gaan en vaak voorbij gekeken aan B2B vs. B2C aspecten van de verwerking. Dus Facebook de controller vs. Microsoft de (sub-) verwerker, er is echt een wereld van verschil tussen die twee. Maar zorgelijker nog in mijn optiek is dat met al die aandacht voor Amerika misstanden met controllers en verwerkers in niet-democratische landen géén aandacht krijgen.

    U zit niet in de Amerikaanse publieke cloud maar heeft wel het systeembeheer uitbesteed aan een Egyptische, Indiaase of [vul uw smaak lage lonenland in] dienstverlener? En u denkt wel te voldoen aan de AVG? LOL.

    Nog maar niet te spreken over de geavanceerde security die de publieke cloud over het algemeen biedt t.o.v. sterk verouderde software in private data centers met slechte beveiliging.

    1. Toestemming is nimmer de oplossing, aangezien toestemming op ieder moment ingetrokken kan worden zonder nadelige gevolgen voor de betrokkene. (Tenzij je het hebt over toestemming voor marketing ontvangen, dan kan het wel. Maar let erop dat die vereniging moet borgen dat de marketingpartijen de gegevens écht wissen als het lid de toestemming intrekt.)

      SCC zijn op dit moment de aangewezen manier om juridisch compliant persoonsgegevens in de VS te plaatsen voor bijvoorbeeld een nieuwsbrief of andere marketingdoeleinden. Ik denk dat dit nog 2 a 3 jaar standhoudt. Dus baseer er geen langetermijnstrategie op.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.