Wat kun je doen om na de Brexit Engelse bedrijven data te laten verwerken?

| AE 11082 | Privacy | 15 reacties

Ook het laatste voorstel vanuit het Verenigd Koninkrijk om tot een ordelijke Brexit te komen lijkt te zijn mislukt, las ik in diverse media. Daarmee wordt de kans reëel dat men op 29 maart geen overeenstemming heeft bereikt met de Europese Unie over het vertrek van het land. Dat riep bij diverse lezers de zenuwachtige vraag op, mag ik dan nog wel persoonsgegevens bij Engelse (of Schotse of Welshe) bedrijven laten verwerken? Immers, zonder regeling is het VK straks gewoon een “derde land” en daar mag je eigenlijk geen persoonsgegevens stallen.

Onder de AVG zijn de regels voor opslag van persoonsgegevens buiten de Europese Economische Ruimte (de EU plus Liechtenstein, Noorwegen en IJsland) erg streng. Het onderliggende argument is dat deze landen geen fatsoenlijke wetgeving rondom persoonsgegevens hebben, en daarom die gegevens van Europese burgers gewoon niet moeten krijgen. Uitzonderingen daargelaten: twaalf landen zijn erkend als adequaat op dit gebied, en Japan is vlakbij erkenning. Met die landen kun je dus gewoon zaken doen rondom persoonsgegevens.

Voor andere landen ligt het ingewikkelder. Hoofdstuk V van de AVG noemt vele opties, maar de eisen zijn behoorlijk streng. Praktisch gezien zijn er twee werkbare opties: de uitdrukkelijke specifieke toestemming van de betrokken personen, en de zogeheten modelclausules als basis voor een overeenkomst met je Engelse bedrijf.

Toestemming. Artikel 49 AVG biedt deze optie, maar kleedt ‘m zo zwaar in dat het eigenlijk niets oplevert:

a) de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;

Even voor de duidelijkheid: hier staat niet dat je mag werken met een popup met vinkje “Ik ben akkoord met opslag van mijn gegevens in Londen”. Je moet een uitdrukkelijke handeling of verklaring halen en je moet kunnen bewijzen dat je mensen in eenvoudige en duidelijke taal (taalniveau B2, de folder bij de apotheek) hebt uitgelegd wat de risico’s zijn als hun gegevens in Engeland opslaat of een Engelse verwerker er mee aan de slag laat gaan.

Het zou flauw zijn om nu te zeggen, leg zelf maar eens uit wat die risico’s zijn. Maar ingewikkeld is het wel. In de kern komt het erop neer dat je niet kunt voorkomen dat die Engelse bedrijven die je erbij betrekt, andere dingen doen dan van de AVG/GDPR mogen. En dan heb ik het niet alleen over stiekeme toegang door overheidsdiensten zoals MI5 of Special Branch, maar ook over datahandel door die bedrijven zelf. Er is geen fatsoenlijke privacywet daar, dus je weet gewoon niet wat die bedrijven vinden dat legaal is.

Natuurlijk kun je dan zeggen, ik ga een contract met ze maken waarin ik dat gewoon keihard verbied. Dat is juridisch alleen niet genoeg binnen deze optie, je moet nog steeds die voorlichting bieden. En vooral – mijn grootste bezwaar – tegen deze optie: mensen kunnen hun toestemming te allen tijde intrekken. Dat maakt werken op deze basis erg wankel.

Werken met de zogeheten Model Clauses is dan ook volgens mij de enige reële optie. Je maakt dan een speciaal contract waarin in strenge taal (door de EU opgesteld en goedgekeurd) de Engelse partij allerlei plichten opgelegd krijgt over hoe om te gaan met persoonsgegevens, hoe te borgen dat jouw personeel of klanten hun rechten kunnen halen en hoe jij toezicht houdt op wat die Engelsen gaan doen.

Dit voelt als een redelijk papieren exercitie en dat is het natuurlijk ook. Maar het is wel iets om op papier mee verder te kunnen totdat de EU en het VK er werkelijk uit zijn. En dan hopen we maar dat dat binnen een jaar of twee bekeken is, want tegen die tijd zullen de model clauses sneuvelen vermoed ik gezien een rechtszaak van de onvermoeibare Max Schrems die tegen dit soort papieren tijgers ten strijde trekt.

De meer cynisch georiënteerde jurist zal dus zijn klanten eerder een vertrek uit het VK aanraden. Gebruik de model clauses als lapmiddel totdat je de migratie compleet hebt, maar heb een plan om weg te gaan op de kortst mogelijke termijn.

Arnoud

Gastblog: Gebruik van modelcontractbepaling vergt extra justificatie. Omgekeerde wereld?

| AE 7898 | Privacy | 10 reacties

cloud-flag-usaOmdat ik met vakantie ben vandaag een gastbijdrage. Vandaag: Marc Steenbergen over de Europese modelbepalingen voor export van persoonsgegevens.

De Data Protection Directive (officieel “Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data”) is de richtlijn binnen de Europese Unie met betrekking tot het verwerken van persoonlijke data. Sinds 1995 is dit een belangrijke onderdeel van Europese wetgeving over privacy en mensenrechten. In Nederland is de richtlijn omgezet in de Wet bescherming persoonsgegevens. In België geldt de Privacywet.

De huidige EU Data Protection Directive 95/46/EC houdt geen rekening met belangrijek aspecten zoals globalisatie en technologsiche ontwikkelingen zoals social networks, cloud computing, etc. De Europese Commissie heeft daarom bepaald dat een nieuwe richtlijn noodzakelijk is, die tevens een belangrijke rol kan spoelen in het bereiken van een “single digital market” binnen de EU. De verwachting is dat er in de loop van 2016 een definitief akkoord zal zijn over de nieuwe General Data Protection Regulation, die vanaf dat moment voor alle landen in de Europese Unie zal gelden.

Om gegevensuitwisseling tussen de Verenigde Staten (VS) en Europa mogelijk te maken waarbij door Amerikaanse bedrijven voldaan wordt aan de EU Data Protection Directive 95/46/EC is het VS-EU Safe Harbour mechanisme in het leven geroepen. Amerikaanse bedrijven die voldoen aan het Safe Harbour framework zijn daarmee compliant met de EU Data Protection Directive 95/46/EC. Amerikaanse organsiaties die gebruik willen maken van het Safe Harbour mechanisme moeten onder regulering staan van de Federal Trade Commission of het Department of Transportation, waardoor bv. financiele instellingen en non-profit organisaties er geen gebruik van kunnen maken. En het bepalen of een Amerikaans bedrijf voldoet aan de Safe Harbour vereisten is iets wat dat bedrijf zelf mag doen (“self certification”). Met andere woorden: de slager keurt zijn eigen vlees. Dat is voor veel Europese bedrijven geen situatie waardoor men de vereiste zekerheden verkrijgt. Zo heeft de Duitse data protectie autoriteit recent verkaard dat zij er geen voorstander van zijn om data overdracht op basis van Safe Harbor goed te keuren. En de Europese Commissie heeft zich uitgesproken voor een update van de Safe Harbor afspraken.

Naast het Safe Harbor mechanisme zijn er nog twee andere mechanismen om veilige gegevensoverdracht te waardborgen: EU Model Clauses en Binding Corporate Rules.

Binding Corporate Rules zijn gedragsregels, gedefinieerd en gecontroleerd door nationale Europese autoriteiten, die door multi-nationale bedrijven geïmplementeerd dienen te worden om al het interne grensoverschrijdende dataverkeer in vereenstemming te laten zijn met de Europese wetgeving. De EU Model Clauses zijn standaard contracten voor de overdracht van data tussen EU en niet-EU landen. De Europese Raad en het Europees Parlement hebben de Europese Commissie begin van deze eeuw de bevoegdheid gegeven om te beslissen op grond van artikel 26 van Richtlijn 95/46/EG dat bepaalde modelcontractbepalingen voldoende waarborgen bieden met betrekking tot de bescherming van de privacy en de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de bijbehorende rechten. De Europese Commissie heeft tot nu toe twee sets van modelcontractbepalingen vastgesteld: een set voor de overdracht van data controllers (“verantwoordelijken”) binnen de EU naar data controllers buiten de EU en een set voor de overdracht van data controller binnen de EU naar buiten de EU gevestigde data processors (“verwerkers”).

De afgelopen periode is het nodige te doen geweest rondom deze EU Model Clause. Sommige bedrijven gebruiken de EU Model Clauses al sinds ze beschikbaar gesteld zijn, in 2001. Andere partijen deden dat tot kort geleden niet, maar hebben recentelijk de terms & conditions van de EU Model Clauses geincorporeerd in eigen (cloud) contracten. Vervolgens hebben ze de Europese autoriteiten voor gegevensbescherming gevraagd om deze contracten goed te keuren. Nadat deze goedkeuring verkregen was, konden deze bedrijven het niet laten om luid van de kanseel te schreeuwen dat ze goedkeuring hadden gehad van de Europese Unie, met statements als “It is the only enterprise cloud that meets EU privacy law standards and be approved by the EU’s data protection authorities.” Dit heeft geleid tot verwarring in de markt omdat sommige eindgebruikers de perceptie kregen, of de perceptie werd aangepraat, dat alleen deze bedrijven compliant zouden zijn met de Europese wetgeving. Terwijl deze bedrijven in feite een probleem hebben opgelost wat ze jarenlang gehad hebben, daar waar andere bedrijven al die jaren lang al compliant waren aan de vereiste Europese wetgeving.

Navraag bij de EU 29 Working Group door partijen die sinds 2001 al exact de door de EU vastgelegde modelcontracten gebruiken, heeft (natuurlijk!) geresulteerd in de schriftelijke bevestiging dat zij compliant zijn met de Europese wetgeving. Wat logisch is, want dat is nou juist het principe van die model clausules!. En dergelijke schriftelijke bevestigingen worden dan weer gebruikt om eindgebruikersorganisaties duidelijk te maken dat de standaard EU Model Clause, “used ever since 2001”, toch echt voldoende is.

Eigenlijk vind ik dit best raar: er is een standaard. Een bedrijf heeft zich jarenlang niets gelegen laten liggen aan de EU Model Clause, besluit haar leven te beteren, incorporeert de EU Model Clause in haar contracten, vraagt confirmatie dat dit okee is, krijgt deze ook, en gebruikt dit voor tendentieuze marketingcommunicatie. Waardoor vervolgens partijen die vanaf dag 1 de standaard Eu Model Clause gebruikten gedwongen worden nog eens additioneel gaan uitleggen aan het publiek dat zij de standaard al sinds 2001 gebruiken, en dat de Europese autoriteiten dit nog eens expliciet hebben bevestigd dat dit die standaard goed is. Maar ja, het onderwerp data privacy is een uiterst gevoelig onderwerp, en terecht. Laten we daarom vooral goed en duidelijk, en feitelijk, blijven communiceren over de daartoe in het leven geroepen wetgeving. Want zoals Jim Barksdale, ex-CEO van Netscape ooit zei: “If we have facts ,let´s look at the facts. If we have opinions, let´s go with mine”.

Marc is Business Development Executive bij IBM. Dit artikel representeert zijn eigen mening en staat los van de opinie van zijn werkgever.