Nieuws, Verdieping

Geen data meer naar de VS: wat zijn de gevolgen?

0

We vinden het vanzelfsprekend om alle beschikbare marketingtools te kunnen gebruiken. Wanneer de interface prettig is, je er als marketeer makkelijk je weg in kunt vinden en het ‘doet wat het moet doen’, zijn we snel tevreden. Maar we zijn er zelden mee bezig wat er met de data gebeurt die we met deze tools delen. Met het wegvallen van het Privacy Shield wordt dat echter wel belangrijk. Waarom?

We maken vaak (onbewust) gebruik van diensten buiten Europa. Met de Verenigde Staten als grootste leverancier. Daar was weinig mis mee, tot het Europees Hof van Justitie in juli een besluit nam dat die vanzelfsprekendheid in één klap wegnam.

Er wordt feest gevierd en flink achter de oren gekrabd, wanneer op 16 juli 2020 het Privacy Shield ongeldig wordt verklaard door het Europese Hof van Justitie. Europese organisaties zien hiermee hun juridische basis voor data-uitwisseling met de Verenigde Staten als sneeuw voor de zon verdwijnen. Aan de hand van een aantal veelgestelde vragen leggen we uit wat voor gevolgen deze beslissing heeft. De uitleg is mede gebaseerd op deze handleiding en FAQ van DDMA, de branchevereniging voor datagedreven marketing.

Wat was het Privacy Shield?

Het Privacy Shield was erop gericht om de uitwisseling van persoonlijke data tussen de Europese Unie en de Verenigde Staten mogelijk te maken. Hiermee gold het als waarborg dat Amerikaanse bedrijven alsnog Europese data mochten opslaan, zonder in overtreding te zijn van de GDPR (General Data Protection Regulation).

Voor de GDPR (of in het Nederlands: de AVG) geldt dat je als Europeaan gegevens uit mag wisselen met landen die veilig genoeg geacht worden: het adequaatheidsbesluit. De Verenigde Staten vielen echter buiten die veilige lijst.

Om toch te kunnen blijven handelen, werd het Privacy Shield-programma opgezet. Met het verdwijnen van dit programma verdwijnt ook de juridische grond voor organisaties binnen de EU voor data-uitwisseling met de 5368 Amerikaanse organisaties die aangesloten zijn bij het Privacy Shield.

Waarom werd het Privacy Shield ongeldig verklaard?

De reden dat de VS niet op de ‘veilige’ lijst staat, is dezelfde reden als waarom het Privacy Shield uiteindelijk af is gewezen. De Amerikaanse wetgeving staat de eigen overheidsdiensten namelijk toe om zich te mengen in data binnen de private sector, door onder andere het beruchte FISA 702. Dat staat haaks op de basis van de GDPR, die juist ontworpen is om persoonlijke gegevens van consumenten te beschermen.

Hier maakte privacy-activist Max Schrems zich dusdanig zorgen om dat hij inmiddels twee zaken heeft aangespannen om data-uitwisseling tussen EU en VS te stoppen. Naast deze zaak (om het Privacy Shield), won Schrems al eerder de zaak omtrent Safe Harbor, die ongeveer dezelfde strekking had.

Welke impact heeft deze uitspraak op mijn bedrijf?

De gevolgen van de Schrems II-uitspraak (de naam die aan de zaak is gegeven) zijn groot. Het betekent waarschijnlijk het einde van data-transfers naar de Verenigde Staten zoals we die nu voor lief nemen. Het betekent voor jouw organisatie dat je geen gebruik meer kunt maken van de bijna 5500 providers op de Privacy Shield-lijst.

Omdat de FISA over ‘electronic communication service providers gaat, heeft deze uitspraak effect op vrijwel alle marketingtools binnen jouw organisatie. Hierbij gaat het dan niet alleen om de marketingtool zelf, maar ook om de subverwerkers die door de aanbieders van deze tools worden ingeschakeld. Electronic communication providers zijn dan bijvoorbeeld de e-maildiensten, cloudopslag en Internet Service Providers (ISP’s) die jouw organisatie (of de verwerkers waarmee je organisatie samenwerkt) gebruikt.

Quote van Schrems over de Privacy Shield-uitspraak

Geldt deze uitspraak alleen voor de Verenigde Staten?

De uitspraak in deze zaak is specifiek voor het dataverkeer tussen de Europese Unie en de Verenigde Staten. Er is gekeken naar hoe de Amerikaanse regelgeving zich verhoudt tot de Europese GDPR en daar is een oordeel over geveld. De uitspraak heeft echter wel effect op de situatie in andere landen, omdat het Europees Hof uitspraken deed over hoe je moet omgaan met verschillen tussen de GDPR en de regelgeving in het land van opslag.

Amerikaanse diensten met een Europese tak

Het grootste probleem van de Amerikaanse regelgeving is dat Amerikaanse inlichtingendiensten toegang hebben tot alle persoonsgegevens van niet-Amerikanen die verwerkt worden bij een Amerikaanse electronic communications provider. Die organisaties kunnen dus verplicht worden om die data te delen met de overheid. Matthias de Bruyne, senior legal counsel bij DDMA, licht toe:

Dat betekent dat het ook effect heeft op Amerikaanse diensten die opslag van de gegevens binnen de EU aanbieden. Een van de vragen van dit moment is of het mogelijk is voor Amerikaanse techpartijen om de data die zij opslaan in de EU hiervan af te schermen. Als dat lukt, dan kan gesteld worden dat er geen zorgen zijn met betrekking tot doorgifte buiten de EU. In de praktijk is dat echter een grijs gebied.

Over welke data gaat het?

Onder het delen van persoonlijke data met de VS valt alleen het delen van data die betrekking heeft op anderen. Wanneer je je eigen persoonsgegevens richting de VS stuurt, geef je daarmee ook zelf toestemming. Dat geldt uiteraard niet voor het delen van andermans data met een organisatie buiten de EU.

Daarnaast betekent de uitspraak van het Hof overigens niet dat er helemaal geen uitwisseling met de VS meer mag plaatsvinden:

  • Data-transfers zonder persoonsgegevens vallen niet onder de GDPR, en
  • ‘Noodzakelijke’, incidentele data-transfers (bijvoorbeeld voor een hotelboeking in de VS) vallen onder artikel 49 van de GDPR en daarmee buiten de uitspraak.

Wat moet ik nu doen met mijn huidige software-oplossingen?

Vrijwel iedere organisatie maakt gebruik van een Amerikaanse provider in marketingoplossingen: Google (Analytics), Mailchimp, SalesForce, HubSpot, noem het maar op. Door het Privacy Shield was het doorgeven van persoonsgegevens naar de VS geen probleem, maar nu dat certificeringsmechanisme wegvalt zullen adverteerders veel nadrukkelijker moeten controleren of de aanbieders van deze tools persoonsgegevens doorgeven naar de VS.

Breng je datastromen nauwkeurig in kaart

De eerste stap in het compliant krijgen van je marketingoplossingen, is het in kaart brengen van je huidige oplossing(en). Dat kun je aan de hand van deze vier vragen doen:

1. In welke landen heeft de leverancier datacentra staan?

In de verwerkersovereenkomst vind je terug of een verwerker data buiten de EU mag opslaan, en met welke partijen zij die data mogen delen. Zo zijn er bijvoorbeeld Europese aanbieders die de Amerikaanse infrastructuur gebruiken. Hierdoor wordt alsnog data de oceaan overgestuurd en is de kans groot dat je data onder de Amerikaanse regelgeving valt.

2. Wie heeft fysiek toegang tot deze datacentra?

Het bijzondere aan de Amerikaanse regelgeving is dat het ook buiten de eigen landsgrenzen strekt. Is er vanuit de Verenigde Staten toegang tot datacentra in de Europese Unie? Dan is er alsnog sprake van doorgifte naar de VS.

3. Zijn er afspraken gemaakt met de leverancier of zijn die te maken?

Aan de hand van SCC’s (Standard Contractual Clauses) zou data-uitwisseling alsnog mogelijk moeten zijn. Hoewel dat sinds de uitspraak voor de VS een lastig verhaal is geworden, legt De Bruyne van DDMA uit.

Het is volgens het EU-hof nodig om ‘case by case’ te bekijken of het land van bestemming veilig genoeg is. Kun je niet garanderen dat de gegevens in de VS voldoende beschermd zijn? Zijn er geen SCC’s beschikbaar? Of worden er geen aanvullende maatregelen getroffen, zoals encryptie? Dan moet je serieus overwegen of je die tool nog kunt blijven gebruiken.

Kies zoveel mogelijk voor EU data-opslag

Sommige Amerikaanse providers geven je de optie om afspraken te maken over dataverwerking en datatransfers. Zo stuurde onder andere SparkPost een e-mail met de boodschap dat er actie wordt ondernomen. Op die wijze zou Europese data alsnog voldoende beschermd zijn.

E-mail van Sparkpost over SCCs en Privacy Shield

SparkPost is een cloud provider die data ook in Nederland opslaat. Kennelijk is er alsnog sprake van doorgifte van persoonsgegevens naar de VS, want uit de afbeelding hierboven blijkt dat zij met hun klanten SCC’s willen afsluiten om die doorgifte te waarborgen.

Ook zijn er aanbieders van tools die ervoor kiezen om een zustermaatschappij op te zetten in Europa om te voldoen aan de lokale regelgeving. Zoiets deed AMS-IX ook een aantal jaar geleden, om bemoeienis van de Amerikaanse overheid in te perken.

Weet je niet zeker of er bij jouw provider sprake is van doorgifte naar de VS? Of deze organisaties onder de wetgeving voor Amerikaanse inlichtingendiensten vallen of werken met sub-verwerkers die in die categorie vallen? Dan heeft de NOYB een tweetal modelverzoeken waar je gebruik van kunt maken om dat na te vragen. Hierna kun je beslissen of je met deze partij een SCC mag/wil afsluiten.

Lukt het dan ook niet om zekerheid te krijgen over data-uitwisseling met de VS? Of om de vereiste afspraken te maken? Dan is het verstandig om eens binnen de eigen grenzen of binnen die van de EU te kijken naar een alternatief.

Stap over naar EU-alternatieven

Maak je gebruik van software die ook goed vervangbaar is door een alternatief binnen de EU? Dan kun je het beste een shortlist maken van EU-providers die het beste alternatief vormen voor je huidige marketingoplossingen. Hoewel er nog enig scepticisme bestaat over de volwassenheid van Europese software, zijn er (verbazingwekkend) veel goede alternatieven te vinden binnen de grenzen van de GDPR.

Een lijst van bijna 80 Europese alternatieven voor Email Service Providers publiceerde ik al eerder op SalesLovesMarketing. Bij sommige softwarevergelijkwebsites, waaronder Crunchbase, kun je ook zoeken naar oplossingen met EU-only data-opslag.

Wat is het gevolg als ik doorga met mijn huidige software-oplossingen?

Ben je erachter gekomen dat jouw tools gebruik maken van electronic communications providers die niet GDPR compliant zijn, maar blijf je deze toch gebruiken? Dan ben je in overtreding van de GDPR/AVG. De uitspraak is namelijk direct van toepassing, waardoor de Autoriteit Persoonsgegevens mag gaan beboeten.

De Bruyne van DDMA geeft aan dat dit betekent dat je als organisatie het risico loopt op een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet, zoals omschreven staat in de GDPR (nuances daargelaten).

Het is daarom van groot belang om niet te lang te wachten met het ondernemen van actie. Lukt dat (om legitieme redenen) op korte termijn niet? Dan is het belangrijk om duidelijk en transparant te communiceren richting betrokkenen en een stappenplan op te zetten om wél compliant te worden. Mocht de toezichthouder dan vragen stellen, kun je in ieder geval aantonen ermee bezig te zijn.

Bij Flowmailer publiceerden we eerder al een infographic over het einde van Privacy Shield. Die vind en download je hier.