Privacy Shield ongeldig verklaard: hoe ga je om met je marketing software tools?

Privacy Shield ongeldig verklaard

Op 16 juli 2020 is het Privacy Shield ongeldig verklaard waardoor het geen rechtsgeldig mechanisme meer is. Het is voor organisaties in de EU dus niet meer mogelijk om op grond van het Privacy Shield persoonsgegevens te versturen naar organisaties in de VS. Wanneer zij dat wel (blijven) doen, overtreden ze de Europese privacyregelgeving (AVG-wet). Veel organisaties in de EU maken echter gebruik van Amerikaanse (software) tools. Voor marketingdoeleinden kun je daarbij denken aan Google diensten zoals Analytics en Ads, aan Facebook Ads, Linkedin Ads, Mailchimp, Hubspot automation software en vele andere pakketten. Betekent het intrekken van het Privacy Shield dat je vandaag nog dient te stoppen met het gebruiken van dit soort marketing(software)tools? Of is er een alternatief?

Wat is het Privacy Shield?

Allereerst een korte uitleg over het Privacy Shield: wat is het? Het EU-U.S. Privacy Shield (privacyschild), dat sinds 1 augustus 2016 van kracht is, is een overeenkomst tussen het Amerikaanse ministerie van Economische Zaken en de Europese Commissie over het uitwisselen van persoonsgegevens tussen organisaties in de EU en de VS.

Simpel gezegd bevat het Privacy Shield regels waaraan Amerikaanse organisaties die Europese persoonsgegevens verwerken zich dienen te houden. Amerikaanse organisaties die het Privacy Shield certificaat in bezit hebben worden regelmatig gecontroleerd. Indien zij in overtreding zijn, wordt het certificaat ingetrokken.

Privacy Shield ongeldig verklaard

EU-organisaties die op grond van het Privacy Shield persoonsgegevens uitwisselen met de VS zijn in overtreding van de AVG.

Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie (EU) het EU-U.S. Privacy Shield ongeldig verklaard in de zaak Schrems II. Het Privacy Shield is daardoor geen rechtsgeldig mechanisme meer voor het versturen van persoonsgegevens naar de VS. Voor organisaties in de EU is het dus niet meer mogelijk om op grond van het Privacy Shield persoonsgegevens uit te wisselen aan partijen in de VS. Doen zij dit wel, dan voldoen ze niet aan de Algemene Verordening Gegevensbescherming (AVG). 

Op grond van die AVG (de Europese privacyregelgeving) mogen persoonsgegevens namelijk niet zomaar doorgegeven worden aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte (derde landen), zoals de VS. Dat mag alleen als het door de AVG gewaarborgde beveiligingsniveau voor persoonsgegevens niet wordt ondermijnd in die derde landen. (Bron: AP).

Google, Hubspot en anderen beroepen zich op SCC’s

Vindbaarheid blog verhogenVeel Europese organisaties werken met marketing software. Denk daarbij aan tools als Mailchimp, Google Ads, Google Analytics, Facebook Ads, Linkedin Ads, Hubspot marketing automation en vele anderen. Al deze Amerikaanse (software)bedrijven hebben hun data (grotendeels) in de VS staan en dus is er sprake van gegevensoverdracht van de EU naar de VS. Wanneer je als organisatie werkt met deze (software) tools, voldoe je dus sinds het intrekken van het Privacy Shield niet meer aan de AVG-wet. Hoe ga je hier als (marketeer binnen een) organisatie mee om?

“As a result of the recent Court of Justice of the European Union ruling on data transfers, invalidating the Privacy Shield, Google will be moving to Standard Contractual Clauses (SCCs) for transfers of online advertising and measurement personal data out of the Europe Economic Area, Switzerland and the UK.” (Bron: Google)

“The good news is that we were prepared for this – transfers of HubSpot customer data from the EU are already covered by the SCCs. Since the GDPR went into effect in 2018, our Data Processing Agreement (DPA), which is incorporated into our Customer Terms of Service, has included both the Privacy Shield and SCCs as the legal mechanisms to transfer customer data from the EU. This ensured that our customers had multiple options for secure data transfers. Although the Privacy Shield will no longer be relied on going forward, the SCCs automatically apply and ensure that data is safely transferred from the EU, so our customers and partners can continue to use HubSpot without disruption.” (Bron: Hubspot)

Zoals uit bovenstaande statements van Google en Hubspot al blijkt, beroepen dit soort (doorgaans grotere Amerikaanse) organisaties zich, na intrekken van het Privacy Shield, op SCC’s (Standard Contractual Clauses). In het Nederlands standaardcontractbepaling of modelovereenkomst genoemd. SCC’s zijn een veelgebruikt mechanisme voor transatlantische gegevensoverdrachten en ook dit mechanisme is door het Hof van Justitie van de EU onder de loep genomen. In tegenstelling tot het Privacy Shield, zijn SCC’s wel overeind gebleven. Conclusie is dat SCC’s het in de praktijk mogelijk maken om naleving van het door het EU-recht vereiste beschermingsniveau in voldoende mate te waarborgen.

SCC’s toetsen op basis van AVG

Organisaties zoals Google en Hubspot, beroepen zich na intrekken van het Privacy Shield op SCC’s.

Wanneer je als organisatie dus persoonsgegevens doorstuurt aan organisaties in de VS, dan kun je dat (voorlopig) blijven doen op basis van een SCC. Kun je dan zomaar te werk gaan op basis van zo’n SCC? Nee! Het is namelijk zaak dat je toetst of de SCC “voldoende beschermingsniveau” biedt. Toetsen kun je doen op basis van artikel 45 lid 2 uit de AVG.

Wanneer wordt geconstateerd dat bepalingen van de SCC’s worden geschonden of niet nageleefd (kunnen) worden, kan de doorgifte van persoonsgegevens worden opgeschort of verboden. Daarin is ook een rol weggelegd voor de gegevensbeschermingsautoriteit die in iedere EU-lidstaat actief is. In Nederland is dat de Autoriteit Persoonsgegevens (AP). Deze moet erop toezien dat doorgifte wordt verboden of opgeschort wanneer deze onveilig wordt geacht volgens de EU-gegevensbeschermingsvereisten.

Hoe nu verder?

Voorlopig kun je als marketeer blijven werken met je marketing(software)tools, zoals Google Analytics en Hubspot, waarbij gegevensoverdracht plaatsvindt naar Amerikaanse organisaties. Het is daarbij dus wel zaak dat je de SCC, op grond waarvan die uitwisseling van persoonsgegevens plaatsvindt, toetst of laat toetsen op artikel 45 lid 2 uit de AVG-wet. Je kunt namelijk alleen gebruik blijven van maken van je marketing(software)tools als de SCC’s AVG-proof zijn.

De European Data Protection Board (EDPB) is momenteel aan het bekijken wat de praktische gevolgen zijn van de uitspraak van het Hof van Justitie van de EU en komt binnenkort met aanvullende maatregelen die organisaties op kunnen nemen in SCC’s.