HvJ-EU verklaart het privacyschild ongeldig - Wat de uitspraak betekent voor websitebeheerders

Mario Steinberg Laatst bijgewerkt op 21.10.2020
6 Min.
Privacyschild HvJ EU
Laatst bijgewerkt op 21.10.2020

Op 16.07.2020 heeft het Europees Hof van Justitie (HvJ) het Privacy Shield ongeldig verklaard. Deze uitspraak heeft onder meer gevolgen voor alle website-exploitanten die gebruik maken van de diensten van Amerikaanse bedrijven. In dit artikel leg ik uit wat de uitspraak betekent voor u als websitebeheerder of -agentschap en wat u nu moet doen.

Juridische uitgangspositie

Voor elke gegevensverwerking is een rechtsgrondslag vereist

Voor elke verwerking van persoonsgegevens is een rechtsgrondslag nodig (artikel 6, lid 1 AVG). De belangrijkste rechtsgrondslagen in verband met websites zijn:

  • De toestemming van de betrokkene (bijvoorbeeld voor het plaatsen van cookies);
  • het nakomen van een contractuele verplichting (bijvoorbeeld in het geval van onlinewinkels);
  • het legitieme belang van de verantwoordelijke persoon of de websitebeheerder (bijvoorbeeld bij het beantwoorden van e-mailvragen).

De toestemming wordt op websites klassiek verkregen door middel van een selectievakje. Het beste voorbeeld hiervan zijn cookiebanners, waarmee de bezoeker van de website instemt met het plaatsen van bepaalde cookies (bijvoorbeeld marketing- of trackingcookies). Als u hier meer over wilt weten, vindt u meer informatie in mijn artikel"Cookiebanners - maar dan correct! Deze 7 dingen die je moet overwegen".

De bovengenoemde rechtsgrondslagen betreffen echter alleen de feitelijke gegevensverwerking zelf.

Aanvullende rechtsbasis vereist voor gegevensoverdrachten naar niet-Europese landen 

Als de gegevensverwerking niet in de EU maar in een niet-Europees land - d.w.z. in een zogenaamd derde land - plaatsvindt, is een aanvullende rechtsgrondslag vereist.

Deze rechtsgrondslagen voor de overdracht van persoonsgegevens naar derde landen zijn te vinden in artikel 44 en volgende van de AVG.

Van bijzonder belang voor websitebeheerders zijn de zogenaamde toereikendheidsbesluiten van de Europese Commissie (artikel 45 AVG).

Bij een dergelijk besluit beslist de Commissie dat een derde land een passend niveau van gegevensbescherming biedt en dat persoonsgegevens aan het derde land mogen worden doorgegeven.

In het verleden zijn met een groot aantal landen, zoals Zwitserland, Australië en Nieuw-Zeeland, toereikendheidsbesluiten genomen. 

Het privacyschild

Het Privacy Shield was een adequaatheidsbesluit van de Europese Commissie voor gegevensoverdrachten naar de VS. Het werd in juli 2016 aangenomen en slechts enkele maanden nadat de Safe Harbor-overeenkomst (de voorganger van het Privacy Shield) door het EHvJ nietig was verklaard.  

In het kader van het privacyschild konden Amerikaanse bedrijven zich er vrijwillig toe verplichten om een bepaald niveau van gegevensbescherming in acht te nemen bij de verwerking van persoonsgegevens uit de EU. Na deze certificering mochten zij persoonsgegevens uit de EU overdragen.

Het EU-VS-privacyschild-oordeel van het HvJ-EU

De aanleiding voor het oordeel van het Europees Hof van Justitie was een verzoek tot een prejudiciële beslissing van het Ierse High Court aan het Europees Hof van Justitie, dat gebaseerd was op een zaak die de Oostenrijkse gegevensbeschermingsactivist Maximilian Schrems tegen Facebook Ireland Ltd. had aangespannen.

Met zijn uitspraak van 16 juli 2020 heeft het Hof van Justitie het Privacy Shield ongeldig verklaard. Als gevolg daarvan zijn alle doorgiften van persoonsgegevens van de EU naar de VS op basis van het Privacy Shield als rechtsgrondslag nu ontoelaatbaar.

Dat klinkt dramatisch - en dat is het ook.

De gevolgen van de uitspraak voor websitebeheerders

Bijna elke website heeft waarschijnlijk te maken met de gevolgen van het oordeel. Dit komt omdat bijna elke website meestal minimaal een dienst van een Amerikaans bedrijf heeft geïntegreerd, die niet alleen door Europese dochterondernemingen (zoals Facebook Ireland Ltd. en Google Ireland Ltd.) worden geleverd, maar ook door de respectieve Amerikaanse moedermaatschappij (zoals Facebook Inc. en Google LLC).

Bij veel van deze diensten worden persoonsgegevens doorgegeven aan de VS (mogelijk afhankelijk van de gemaakte standaardinstellingen). Voorbeelden van dergelijke diensten zijn:

  • Google-diensten zoals Google Analytics, Google Maps of Google Fonts (tenzij ze lokaal zijn geïntegreerd);
  • Nieuwsbriefdiensten (bv. Mailchimp);
  • Social media plugins (Facebook, Instagram, YouTube, Twitter, enz.)
  • Cloud-backup-diensten;
  • Onlineshop-oplossingen.

Als een websitebeheerder zijn verklaring inzake gegevensbescherming correct heeft opgesteld, moet daar voor elke dienst waar gegevens naar de VS zouden kunnen worden overgedragen, de volgende informatie worden gevonden:

"Het Amerikaanse bedrijf XYZ verwerkt ook uw persoonsgegevens in de VS en heeft zich onderworpen aan het EU/VS Privacy Shield. Voor meer informatie over het Privacy Shield, zie: https://www.privacyshield.gov/EU-US-Framework."

Mogelijke alternatieve rechtsgrondslagen voor gegevensdoorgifte

Gegevensoverdrachten naar de VS, die tot nu toe gebaseerd waren op het privacyschild, zijn, met onmiddellijke ingang of tot een nieuw toereikendheidsbesluit van de Commissie, alleen toegestaan als zij op een andere rechtsgrond kunnen worden gebaseerd.

Als zodanig kunnen worden overwogen:

Toestemming van de betrokkene

Als rechtsgrondslag voor websitebeheerders komt vooral de uitdrukkelijke toestemming van de betrokkene in aanmerking (artikel 49, lid 1 a, AVG). Voorwaarde is echter wel dat de betrokkene vóór het geven van toestemming is geïnformeerd over de risico's van de gegevensoverdracht.

Toezending voor contractuitvoering

Het is ook denkbaar dat de overdracht van persoonsgegevens naar de VS noodzakelijk is voor de uitvoering van een contract tussen de betrokken persoon (de bezoeker van de website) en de verantwoordelijke persoon (de websitebeheerder).

Het is echter niet voldoende dat de websitebeheerder gebruik wil maken van de dienst van een Amerikaans bedrijf (bijvoorbeeld een Amerikaanse onlineshop-plugin) om het contract af te sluiten. Het is veelmeer noodzakelijk dat het contract zelf een Amerikaanse referentie heeft, bijvoorbeeld dat het wordt besteld bij een Amerikaanse webwinkel.

Standaardbepalingen inzake gegevensbescherming van de Europese Commissie

Het is niet erg waarschijnlijk dat de overdracht van persoonsgegevens naar de VS kan worden gebaseerd op de standaardclausules inzake gegevensbescherming die door de Europese Commissie zijn goedgekeurd (artikel 46, lid 2 c, AVG).

De standaardclausules inzake gegevensbescherming zijn modelcontracten die kunnen worden gesloten tussen een in de EU gevestigde gegevensexporteur en een in een derde land gevestigde gegevensimporteur. Door middel van deze clausules garandeert de niet-Europese gegevensimporteur aan de gegevensexporteur dat de overgedragen persoonsgegevens bij hem een vergelijkbaar beschermingsniveau als de AVG genieten.

In haar uitspraak over het privacyschild oordeelde het Europees Hof van Justitie dat de standaardclausules inzake gegevensbescherming op zich inhoudelijk niet bezwaarlijk zijn. Het moet echter ook mogelijk zijn om ze effectief af te dwingen in het derde land.

Of dit daadwerkelijk mogelijk is voor gegevensoverdracht naar de VS lijkt hoogst twijfelachtig. Het Europees Hof van Justitie heeft het privacyschild ongeldig verklaard, onder meer omdat EU-burgers geen passende rechtsbescherming zouden hebben tegen de programma's voor gegevenscontrole van de Amerikaanse autoriteiten. En deze situatie zal waarschijnlijk vrijwel identiek zijn aan de standaardclausules inzake gegevensbescherming.

Daarom heeft het Europees Hof van Justitie in haar oordeel ook besloten dat de Autoriteiten Persoonsgegevens op het gebied van gegevensbescherming verplicht zijn om de doorgifte van persoonsgegevens naar een derde land op basis van standaardclausules inzake gegevensbescherming op te schorten of te verbieden, indien zij van mening zijn dat de standaardclausules inzake gegevensbescherming in het derde land niet worden of kunnen worden nageleefd. 

Het is daarom waarschijnlijk dat de doorgifte van gegevens naar de VS op basis van de standaardclausules inzake gegevensbescherming door de Autoriteit Persoonsgegevens zal worden aangevochten en niet-ontvankelijk zal worden verklaard.

Wat je als websitebeheerder nu moet doen

Aangezien alle overdrachten van persoonlijke gegevens naar de VS op basis van het EU-VS-privacyschild nu ongeoorloofd zijn, moeten websitebeheerders de volgende maatregelen nemen:

#1 Europese servers kiezen

Sommige Amerikaanse bedrijven bieden de mogelijkheid om hun diensten via Europese servers te leveren. Als dit het geval is, moeten de websitebeheerders de Europese server kiezen.

#2 Toestemming van de betrokkene verkrijgen

Indien de keuze van een Europese server niet mogelijk is, dient de uitdrukkelijke toestemming van de betrokkene voor de overdracht van zijn persoonsgegevens aan de VS verkregen te worden. Deze toestemming kan, net als bij cookies, gegeven worden door middel van een aankruisvakje.

Aangezien elke website die cookies plaatst een cookie-banner met bijbehorende informatie en selectievakjes voor het instellen van de individuele cookies moet hebben, kan dit worden aangevuld met verdere (risico)mededelingen en checkboxes met betrekking tot de beoogde gegevensoverdracht naar de Verenigde Staten. Zoals bij elk selectievakje moet de bezoeker van de website uiteraard zelf op het selectievakje klikken (opt-in), want het Federale Hof van Justitie heeft geoordeeld dat de standaard geactiveerde selectievakjes (opt-out) ontoelaatbaar zijn.

Toegegeven, het enige "nadeel" van deze toestemmingsoplossing is dat de betrokken dienst mogelijk niet actief is op de website als geen toestemming is gegeven.

Wat dit betekent, wordt hier kort aan de hand van het voorbeeld Google Fonts uitgelegd:

Soms zijn Google Fonts niet lokaal op de website ingebed, maar worden ze pas bij het eerste kijkje op de website van de webbrowser door de Google-servers geladen. Als dit gebeurt met een Amerikaanse Google-server, worden de gegevens van de webbrowser, d.w.z. persoonlijke gegevens van de bezoeker van de website, doorgegeven aan deze Google-server in de VS.

Het is nu al de vraag of het herladen van de Google Fonts kan worden gebaseerd op een legitiem belang van de websitebeheerder (ik heb persoonlijk grote twijfels), omdat de Google Fonts ook lokaal kunnen worden geïntegreerd. Maar zelfs als dit legitieme belang zou worden verondersteld, zou er een extra wettelijke basis nodig zijn voor de overdracht van persoonlijke webbrowsergegevens naar de Amerikaanse Google-servers. Deze extra wettelijke basis was voorheen het Privacy Shield. Aangezien dit nu niet meer effectief is, zou voor het herladen van Google Fonts van de Amerikaanse Google-servers nu de toestemming van de websitebezoeker nodig zijn. Als deze toestemming niet wordt verleend, mogen de Google Fonts niet worden herladen.

Dit betekent dat Google Fonts uiterlijk vanaf nu dringend lokaal op de website moeten worden geïntegreerd.

#3 Privacyverklaring aanpassen

Het is belangrijk om de privacyverklaring aan de nieuwe juridische situatie aan te passen.

Aangezien de privacyverklaring de verwerking van persoonsgegevens op een website volledig en nauwkeurig moet weergeven, is het niet voldoende om de eerdere verwijzingen naar het privacyschild slechts te verwijderen - tenminste niet als de betreffende diensten gebruikt blijven worden.

Als de gegevensoverdracht nu gebaseerd is op de toestemming van de bezoeker van de website, dan moet dit ook daadwerkelijk worden vermeld. Bovendien moeten in het geval van toestemming ook de risico's in verband met de overdracht van gegevens naar de VS toegelicht worden, namelijk dat de persoonsgegevens die naar de VS worden overgedragen door de Amerikaanse autoriteiten in het kader van de Amerikaanse programma's voor gegevenscontrole zullen worden geëvalueerd en dat EU-burgers dus geen toegang zullen hebben tot passende wettelijke beschermingsmogelijkheden.

Vooruitzicht

Nadat het Europees Hof van Justitie de Safe Harbor overeenkomst ongeldig had verklaard, duurde het slechts enkele maanden totdat de Europese Commissie het privacyschild met de VS overeen gekomen was.

Gezien het niet te onderschatten belang van de trans-Atlantische gegevensuitwisseling zal het ook deze keer zeker niet lang duren voordat er een nieuwe verordening wordt gevonden en de Europese Commissie een nieuw toereikendheidsbesluit voor de overdracht van persoonsgegevens aan de VS vaststelt.

En als het de zorgen van het Hof van Justitie overneemt en meer gegevensbescherming voor EU-burgers in de VS creëert, is dit ook een goede zaak voor websitebeheerders.

Mario Steinberg is advocaat en specialist bestuursrecht bij het handelsrechtkantoor LIEB.Rechtsanwälte. Het zwaartepunt van zijn werkzaamheden ligt bij gegevensbeschermingsrecht, IT-beveiligingsrecht en IT-recht.

Verwante artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.