Sinds 27 juni 2021 gelden in de EU vergaande nieuwe regels op het gebied van de uitvoer van persoonsgegevens buiten de EU. Er is een overgangsregeling in opgenomen. Echter, in veel gevallen blijken techbedrijven (bedrijven die IT-diensten zoals cloud, implementaties, datacenters of sourcing leveren) en hun klanten direct de nieuwe regels te moeten implementeren!
De kernverplichting onder het privacyrecht betreft dat persoonsgegevens niet zomaar de EU verlaten, en terecht komen in een land waar men minder strenge privacyregels heeft. De GDPR verbiedt dat bedrijven en overheden persoonsgegevens uitvoeren buiten de EU, behalve als aan wettelijke verplichtingen is voldaan.
Achterliggende zorgen zijn onder meer ongewenste inzage door buitenlandse veiligheidsdiensten en ‘surveillance capitalism’. (Dit laatste is de wereldwijde praktijk van bedrijven als Google en Facebook om verregaande informatie over hun klanten – lees individuen – te verzamelen en te verhandelen). De boete op een illegale transfer kan oplopen tot 20 miljoen euro, of 4 procent van de wereldwijde omzet.
Wat aan de nieuwe transferregels vooraf ging
Vorig jaar zomer was het groot nieuws. Het Europese Hof van Justitie maakte in Schrems II korte metten met de grootschalige uitvoer door Facebook van onze persoonsgegevens naar Amerika. Een van de grote zorgen was dat de NSA ongeclausuleerd toegang zou kunnen krijgen tot onze persoonlijke data. Gevolg was dat het Privacy Shield, dat gegevensuitwisseling tussen de EU en de USA mogelijk moet maken, per direct ongeldig werd verklaard.
In de slipstream vermeldde de hoogste Europese rechter terecht dat het ernstige vraagtekens plaatste bij het gebrekkige juridische fundament voor de uitvoer van persoonsgegevens wereldwijd vanuit de EU. Dit verwijt bleek niet aan dovemansoren gericht. De Europese Commissie maakte de afgelopen maanden eindelijk haast met het huiswerk, dat zij sinds 2018, toen de nieuwe privacywet (GDPR) in de EU van kracht werd, voor zich uitgeschoven had.
Het resultaat is een gloednieuwe set modelcontracten (standard contractual clauses, SCC), die iedere uitvoer van persoonsgegevens buiten de EU regelt. Volledig aangepast aan de eisen van deze tijd, zoals neergelegd in de GDPR. Zo wordt er een transfer verbod ingevoerd als bijvoorbeeld een veiligheidsdienst als de NSA de gegevens in handen zou kunnen krijgen.
Een nieuwe verplichting is dat de ieder bedrijf of instelling die persoonsgegevens exporteert buiten de EU voorafgaand hieraan een zogeheten data transfer impact assessment (TIA) dient uit te voeren met de ontvanger (zoals bijvoorbeeld klanten in de US, of processors in China).
Het goede nieuws is voorts dat het papierwerk flink verminderd kan worden. Tot nog toe moesten transfers apart van de verwerkersovereenkomst worden geregeld. Onder het nieuwe regime kunnen data-uitvoerende partijen dit in elkaar schuiven. Tot zover de voordelen.
De adder onder het gras zit hem in het grote bereik van deze transfercontracten (de nieuwe SCC). De voorloper van deze contracten gold alleen voor controllers. Oftewel: alleen bedrijven die voor hun eigen bedrijfsvoering zelf persoonsgegevens verwerken. Nieuw is dat de nieuwe transferregels óók voor techbedrijven gelden. Met bijbehorend boeteregime.
De nieuwe regels gelden rechtstreeks voor alle techbedrijven die (voor hun klanten zoals organisaties en consumenten) transfers van persoonsgegevens verrichten aan anderen (processors of controllers) buiten de EU. Dit geldt voor de meeste techbedrijven, zeker de meer internationaal gerichte. Doordat hiervoor eerder géén regels waren opgesteld door de Europese Commissie, hebben veel techbedrijven het juridisch regelen van deze transfers voor zich uitgeschoven. En het overgangsregime dreigt feitelijk niet voor hen te gelden: dat regime is er op gericht dat men nog een tijdje de oude regels kan gebruiken, maar die gelden nu juist niet voor techbedrijven.
Ook voor veel controllers, die persoonsgegevens in het kader van hun eigen bedrijfsvoering verwerken, zal gelden dat zij al vrij snel de nieuwe transferregels moeten implementeren. Voorwaarde voor het voorlopig blijven gebruiken van de oude regels is namelijk dat men niets in de bestaande verwerking van persoonsgegevens mag wijzigen. Gezien het dynamische en innovatieve karakter van het bedrijfsleven, maar ook van veel instellingen en overheden, ligt wijziging al snel voor de hand. Hier lijkt de Europese Commissie (de opsteller van de SCC) enigszins achter de technologische ontwikkelingen aan te lopen.
Na ruim drie jaar te hebben gewacht op de Europese Commissie voor het implementeren van transferregels die GDPR-compliant zijn, blijkt de implementatie voor veel techbedrijven en hun afnemers hoogste prioriteit.
D-Day voor Privacy!
