Wat betekent het ongeldig verklaren van het ‘Privacy Shield’ voor gemeenten?

→ Dit artikel is oorspronkelijk gepubliceerd op Quarant.nl.

Op 16 juli heeft het Europese Hof van Justitie het ‘Privacy Shield’ nietig verklaard. Het hoogste Europese tribunaal oordeelde dat het verdrag de persoonsgegevens van Europeanen niet voldoende beschermt tegen het verwerken van die gegevens in de Verenigde Staten. Volgens de AVG hebben EU-inwoners daar weldegelijk recht op. Heeft deze uitspraak gevolgen voor gemeenten?

Gevolgen voor gemeenten in de praktijk

De gevolgen van de uitspraak door het Europese Hof zullen in de praktijk wel meevallen denken we. De modelcontractbepalingen blijven namelijk gewoon geldig. Dit zijn standaardvoorwaarden die door de EU en gegevensverwerkers zijn opgesteld en die aan de AVG voldoen. Als bedrijven zich aan deze voorwaarden houden, kunnen zij wel data blijven doorspelen naar de VS.

De diensten van Microsoft

Van alle Amerikaanse bedrijven is Microsoft waarschijnlijk het bedrijf dat de meeste diensten levert aan gemeenten. Bijvoorbeeld door cloudopslag en infrastructuur via Azure. En uiteraard ook Office 365. In de Microsoftvoorwaarden is dit modelcontract van de Europese Commissie geïncorporeerd.

Samenwerkingsverbanden moeten opletten

Het modelcontract heeft betrekking op de relatie ‘verantwoordelijke – verwerker’. Samenwerkingsverbanden verwerken persoonsgegevens in de hoedanigheid van verwerker ten opzichte van de verantwoordelijke gemeenten. Microsoft zou dan een ‘subverwerker’ zijn. Maar het modelcontract kent geen relatie ‘verwerker – subverwerker’. Daarom adviseren we samenwerkingsverbanden te controleren of zij door hun deelnemende organisaties gemachtigd zijn om namens hen met Microsoft de modelovereenkomst te sluiten. Zo niet, is het belangrijk dat alsnog te regelen.

Andere leveranciers zoals Google en Amazon

De betaalde diensten van Google en Amazon maken gebruik van een zelfde constructie als Microsoft. Maar voor de ‘gratis’ diensten van bijvoorbeeld Google (denk aan Analytics) of Facebook heeft de uitspraak wel grote gevolgen. Daar mogen gemeenten persoonsgegevens in principe niet meer mee delen. Het hof heeft ook besloten dat toezichthouders als de AP hier vanaf nu actief op moeten handhaven. We raden gemeenten daarom aan om te onderzoeken welke gegevensstromen naar de VS gaan en als er geen modelcontractbepalingen zijn afgesloten naar alternatieven te zoeken. Voor Analytics is er bijvoorbeeld Matomo .

De gevolgen voor de lange termijn

We verwachten overigens dat na deze uitspraak er wel weer een opvolger van het Privacy Shield zal komen, waarin de privacy dan wel volgens de AVG wordt gewaarborgd. Het Privacy Shield was tenslotte ook al een verbetering ten opzichte van de voorafgaande Safe Harbor Principles. De economische belangen voor zowel de VS als Europa zijn te groot om dit niet goed te regelen.