HvJ-EU verklaart het privacyschild ongeldig - Wat de uitspraak betekent voor website-eigenaren

Mario Steinberg Bijgewerkt op 21.10.2020
6 Min.
Privacyschild HvJ EU
Laatst bijgewerkt op 21.10.2020

Op 16-07-2020 heeft het Europees Hof van Justitie (HvJ-EU) het EU-VS-privacayschild ongeldig verklaard. Deze uitspraak betreft alle website-eigenaren die gebruik maken van de diensten van Amerikaanse bedrijven. In dit artikel leg ik uit wat de uitspraak voor jou als website-eigenaar of -bureau betekent en wat je nu moet doen.

Juridische uitgangspositie

Voor alle gegevensverwerking is een wettelijke basis nodig

Voor elke verwerking van persoonsgegevens is een rechtsgrondslag nodig (artikel 6, lid 1 AVG). De belangrijkste rechtsgrondslagen in verband met websites zijn:

  • De toestemming van de betrokkene (bijvoorbeeld voor het plaatsen van cookies);
  • het nakomen van een contractuele verplichting (bijvoorbeeld in het geval van onlinewinkels);
  • het legitieme belang van de verantwoordelijke persoon of de exploitant van de website (bijvoorbeeld bij het beantwoorden van e-mailvragen).

Toestemming wordt bij websites traditioneel verkregen door middel van een selectievakje. Het beste voorbeeld hiervan zijn de cookie-banners, waarmee de websitebezoeker instemt met het plaatsen van bepaalde cookies (bijvoorbeeld marketing- of trackingcookies). Als je hier meer over wilt weten, biedt mijn artikel "Cookie-banner - maar dan goed! Op deze 7 dingen moet je letten" meer uitkomst.

De bovengenoemde rechtsgrondslagen hebben echter alleen betrekking op de feitelijke gegevensverwerking zelf.

Aanvullende rechtsbasis vereist voor gegevensoverdrachten naar niet-Europese landen 

Als de gegevensverwerking niet in de EU maar in een niet-Europees land - d.w.z. in een zogenaamd derde land - plaatsvindt, is een aanvullende rechtsgrondslag vereist.

Deze rechtsgrondslagen voor de overdracht van persoonsgegevens naar derde landen zijn te vinden in artikel 44 en volgende van de AVG.

Van bijzonder belang voor website-eigenaren zijn de zogenaamde toereikendheidsbesluiten van de Europese Commissie (artikel 45 AVG).

Bij een dergelijk besluit beslist de Commissie dat een derde land een passend niveau van gegevensbescherming biedt en dat persoonsgegevens aan het derde land mogen worden doorgegeven.

In het verleden zijn met een groot aantal landen, zoals Zwitserland, Australië en Nieuw-Zeeland, toereikendheidsbesluiten genomen. 

Het privacyschild

De privacyschildovereenkomst was een toereikendheidsbesluit van de Europese Commissie voor de gegevensoverdracht naar de VS. Het werd in juli 2016 goedgekeurd en slechts enkele maanden na de intrekking van de Safe Harbor Privacy Principles (de voorloper van het Privacy Shield) door het Hof van Justitie getekend.  

In het kader van het privacyschild konden Amerikaanse bedrijven zich er vrijwillig toe verplichten om een bepaald niveau van gegevensbescherming in acht te nemen bij de verwerking van persoonsgegevens uit de EU. Na deze certificering mochten zij persoonsgegevens uit de EU overdragen.

Het EU-VS-privacyschild-oordeel van het HvJ-EU

De aanleiding voor het oordeel van het Europees Hof van Justitie was een verzoek tot een prejudiciële beslissing van het Ierse High Court aan het Europees Hof van Justitie, dat gebaseerd was op een zaak die de Oostenrijkse gegevensbeschermingsactivist Maximilian Schrems tegen Facebook Ireland Ltd. had aangespannen.

In het oordeel van 16 juli 2020 heeft het Europees Hof van Justitie het privacyschild ongeldig verklaard. Dit betekent dat alle overdrachten van persoonsgegevens van de EU naar de VS, die voorheen gebaseerd waren op het privacyschild als rechtsgrond, nu met onmiddellijke ingang ontoelaatbaar zijn.

Dat klinkt dramatisch. En dat is het ook.

De gevolgen van de uitspraak voor website-eigenaren

Bijna elke website heeft waarschijnlijk te maken met de gevolgen van het oordeel. Dit komt omdat bijna elke website meestal minimaal een dienst van een Amerikaans bedrijf heeft geïntegreerd, die niet alleen door Europese dochterondernemingen (zoals Facebook Ireland Ltd. en Google Ireland Ltd.) worden geleverd, maar ook door de respectieve Amerikaanse moedermaatschappij (zoals Facebook Inc. en Google LLC).

Voor veel van deze diensten worden persoonlijke gegevens overgedragen aan de VS (mogelijk afhankelijk van de standaardinstellingen). Voorbeelden van dergelijke diensten zijn:

  • Google-diensten zoals Google Analytics, Google Maps of Google Fonts (zolang deze niet lokaal zijn geïntegreerd);
  • Nieuwsbriefdiensten (bijv. Mailchimp);
  • Social media plugins (Facebook, Instagram, YouTube, Twitter, enz.)
  • Cloud-backup-diensten;
  • Onlineshop-oplossingen.

Als een website-eigenaar zijn verklaring inzake gegevensbescherming correct heeft opgesteld, moet daar voor elke dienst waar gegevens naar de VS zouden kunnen worden overgedragen, de volgende informatie worden gevonden:

"Het Amerikaanse bedrijf XYZ verwerkt ook jouw persoonlijke gegevens in de Verenigde Staten en heeft zich onderworpen aan het EU-VS-privacyschild. Voor meer informatie over het privacyschild, zie: https://www.privacyshield.gov/EU-US-Framework."

Mogelijke alternatieve rechtsgrondslagen voor gegevensoverdracht

Gegevensoverdrachten naar de VS, die tot nu toe gebaseerd waren op het privacyschild, zijn, met onmiddellijke ingang of tot een nieuw toereikendheidsbesluit van de Commissie, alleen toegestaan als zij op een andere rechtsgrond kunnen worden gebaseerd.

Als zodanig kunnen worden overwogen:

Toestemming van de betrokkene

Als rechtsgrondslag voor website-eigenaren komt vooral de uitdrukkelijke toestemming van de betrokkene in aanmerking (artikel 49, lid 1 a, AVG). Voorwaarde is echter wel dat de betrokkene vóór het geven van toestemming is geïnformeerd over de risico's van de gegevensoverdracht.

Overdracht voor de uitvoering van het contract

Het is ook denkbaar dat de overdracht van persoonsgegevens naar de VS noodzakelijk is voor de uitvoering van een contract tussen de betrokken persoon (de bezoeker van de website) en de verantwoordelijke persoon (de exploitant van de website).

Het is echter niet voldoende dat de website-eigenaar gebruik wil maken van de dienst van een Amerikaans bedrijf (bijvoorbeeld een Amerikaanse onlineshop-plugin) om het contract af te sluiten. Het is veelmeer noodzakelijk dat het contract zelf een Amerikaanse referentie heeft, bijvoorbeeld dat het wordt besteld bij een Amerikaanse webwinkel.

Standaardclausules inzake gegevensbescherming van de Europese Commissie

Het is niet erg waarschijnlijk dat de overdracht van persoonsgegevens naar de VS kan worden gebaseerd op de standaardclausules inzake gegevensbescherming die door de Europese Commissie zijn goedgekeurd (artikel 46, lid 2 c, AVG).

De standaardclausules inzake gegevensbescherming zijn modelcontracten die kunnen worden gesloten tussen een in de EU gevestigde gegevensexporteur en een in een derde land gevestigde gegevensimporteur. Door middel van deze clausules garandeert de niet-Europese gegevensimporteur aan de gegevensexporteur dat de overgedragen persoonsgegevens bij hem een vergelijkbaar beschermingsniveau als de AVG genieten.

In haar uitspraak over het privacyschild oordeelde het Europees Hof van Justitie dat de standaardclausules inzake gegevensbescherming op zich inhoudelijk niet bezwaarlijk zijn. Het moet echter ook mogelijk zijn om ze effectief af te dwingen in het derde land.

Of dit daadwerkelijk mogelijk is voor gegevensoverdracht naar de VS lijkt hoogst twijfelachtig. Het Europees Hof van Justitie heeft het privacyschild ongeldig verklaard, onder meer omdat EU-burgers geen passende rechtsbescherming zouden hebben tegen de programma's voor gegevenscontrole van de Amerikaanse autoriteiten. En deze situatie zal waarschijnlijk vrijwel identiek zijn aan de standaardclausules inzake gegevensbescherming.

Daarom heeft het Europees Hof van Justitie in haar oordeel ook besloten dat de Autoriteiten Persoonsgegevens op het gebied van gegevensbescherming verplicht zijn om de doorgifte van persoonsgegevens naar een derde land op basis van standaardclausules inzake gegevensbescherming op te schorten of te verbieden, indien zij van mening zijn dat de standaardclausules inzake gegevensbescherming in het derde land niet worden of kunnen worden nageleefd. 

Het is daarom waarschijnlijk dat de doorgifte van gegevens naar de VS op basis van de standaardclausules inzake gegevensbescherming door de Autoriteit Persoonsgegevens zal worden aangevochten en niet-ontvankelijk zal worden verklaard.

Wat je als websitebeheerder nu moet doen

Aangezien alle overdrachten van persoonlijke gegevens naar de VS op basis van het EU-VS-privacyschild nu ongeoorloofd zijn, moeten website-eigenaren de volgende maatregelen nemen:

#1 Europese servers kiezen

Sommige Amerikaanse bedrijven bieden de mogelijkheid om hun diensten via Europese servers te leveren. Als dit het geval is, moeten de website-eigenaren de Europese server kiezen.

#2 Toestemming van de betrokkene verkrijgen

Indien de keuze van een Europese server niet mogelijk is, dient de uitdrukkelijke toestemming van de betrokkene voor de overdracht van zijn persoonsgegevens aan de VS verkregen te worden. Deze toestemming kan, net als bij cookies, gegeven worden door middel van een aankruisvakje.

Aangezien elke website die cookies plaatst een cookie-banner met bijbehorende informatie en selectievakjes voor het instellen van de individuele cookies moet hebben, kan dit worden aangevuld met verdere (risico)mededelingen en checkboxes met betrekking tot de beoogde gegevensoverdracht naar de Verenigde Staten. Zoals bij elk selectievakje moet de bezoeker van de website uiteraard zelf op het selectievakje klikken (opt-in), want het Federale Hof van Justitie heeft geoordeeld dat de standaard geactiveerde selectievakjes (opt-out) ontoelaatbaar zijn.

Het enige "nadeel" van deze toestemmingsoplossing is weliswaar dat de overeenkomstige dienst op de website niet actief kan zijn als er geen toestemming wordt gegeven.

Wat dit betekent, wordt hier kort aan de hand van het voorbeeld Google Fonts uitgelegd:

Soms zijn Google Fonts niet lokaal op de website ingebed, maar worden ze pas bij het eerste kijkje op de website van de webbrowser door de Google-servers geladen. Als dit gebeurt met een Amerikaanse Google-server, worden de gegevens van de webbrowser, d.w.z. persoonlijke gegevens van de bezoeker van de website, doorgegeven aan deze Google-server in de VS.

Het is nu al de vraag of het herladen van de Google Fonts kan worden gebaseerd op een legitiem belang van de website-exploitant (ik heb persoonlijk grote twijfels), omdat de Google Fonts ook lokaal kunnen worden geïntegreerd. Maar zelfs als dit legitieme belang zou worden verondersteld, zou er een extra wettelijke basis nodig zijn voor de overdracht van persoonlijke webbrowsergegevens naar de Amerikaanse Google-servers. Deze extra wettelijke basis was voorheen het Privacy Shield. Aangezien dit nu niet meer effectief is, zou voor het herladen van Google Fonts van de Amerikaanse Google-servers nu de toestemming van de websitebezoeker nodig zijn. Als deze toestemming niet wordt verleend, mogen de Google Fonts niet worden herladen.

Dit betekent dat Google Fonts uiterlijk vanaf nu dringend lokaal op de website moeten worden geïntegreerd.

#3 Privacyverklaring aanpassen

Het is belangrijk om de privacyverklaring aan de nieuwe juridische situatie aan te passen.

Aangezien de privacyverklaring de verwerking van persoonsgegevens op een website volledig en nauwkeurig moet weergeven, is het niet voldoende om de eerdere verwijzingen naar het privacyschild slechts te verwijderen - tenminste niet als de betreffende diensten gebruikt blijven worden.

Als de gegevensoverdracht nu gebaseerd is op de toestemming van de bezoeker van de website, dan moet dit ook daadwerkelijk worden vermeld. Bovendien moeten in het geval van toestemming ook de risico's in verband met de overdracht van gegevens naar de VS toegelicht worden, namelijk dat de persoonsgegevens die naar de VS worden overgedragen door de Amerikaanse autoriteiten in het kader van de Amerikaanse programma's voor gegevenscontrole zullen worden geëvalueerd en dat EU-burgers dus geen toegang zullen hebben tot passende wettelijke beschermingsmogelijkheden.

Vooruitzicht

Nadat het Europees Hof van Justitie de Safe Harbor overeenkomst ongeldig had verklaard, duurde het slechts enkele maanden totdat de Europese Commissie het privacyschild met de VS overeen gekomen was.

Gezien het niet te onderschatten belang van de trans-Atlantische gegevensuitwisseling zal het ook deze keer zeker niet lang duren voordat er een nieuwe verordening wordt gevonden en de Europese Commissie een nieuw toereikendheidsbesluit voor de overdracht van persoonsgegevens aan de VS vaststelt.

En als het de zorgen van het Hof van Justitie overneemt en meer gegevensbescherming voor EU-burgers in de VS creëert, is dit ook een goede zaak voor website-exploitanten.

Mario Steinberg is advocaat en gespecialiseerd in bestuursrecht bij het handelskantoor LIEB.advocaten. Het zwaartepunt van zijn werk ligt bij het gegevensbeschermingsrecht, het IT-veiligheidsrecht en het IT-recht.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een opmerking

Je e-mail adres wordt niet gepubliceerd. Verplichte velden zijn met * gemarkeerd.