Er bestaat onduidelijkheid bij gemeenten over in hoeverre persoonsgegevens van Nederlandse burgers kunnen worden verwerkt door Amerikaanse partijen. Is het verboden of (onder voorwaarden) toegestaan? Het gaat om elke soort dienstverlening waarbij persoonsgegevens worden verwerkt door een Amerikaanse leverancier, zoals opslag in de cloud, een nieuwsbrief, analyses van websitebezoekers of andere tooling.
In onderstaande tabel zijn de verschillende soorten Amerikaanse wetgeving opgenoemd waarbij de overheid op een bepaalde wijze persoonsgegevens over Europese burgers kan verkrijgen. Het specifieke risico staat er ook bij vermeld. In het algemeen adviseren wij het volgende:
Amerikaanse leveranciers kunnen worden ingeschakeld in zoverre ze Privacy Shield gecertificeerd zijn. Let er op dat het certificaat nog geldig is. Op deze overheidswebsite is het certificaat te verifiëren. Sla data, indien mogelijk, op in Europese datacenters. Grote partijen als Microsoft (Azure, Office 365, etc) en Amazon Web Services bieden dit aan. Sla verder niet meer gegevens op in de cloud dan noodzakelijk en let ook goed op back-ups en hun locaties.
Vanwege de risico’s die hieronder beschreven zijn, inclusief het risico met betrekking tot Privacy Shield, heeft een leverancier in de EER wel de voorkeur. Een eigen kosten-baten analyse en risicoafweging kunnen verdere onderbouwing geven aan uw specifieke gemeentelijke situatie.
Wet |
Risico |
Geschat risiconiveau |
CLOUD Act (van toepassing sinds 23-3-2018) |
Bij strafrechtelijk onderzoek kunnen persoonsgegevens in de cloud belangrijke informatie opleveren. Voor de opsporing van een strafbaar feit is het onder de CLOUD Act mogelijk voor Amerikaanse autoriteiten om persoonsgegevens op te vragen bij Amerikaanse cloudproviders, ook als die organisatie de gegevens opslaat buiten Amerika, zoals documenten, foto’s en e-mails. Er zijn wel de nodige waarborgen ingebouwd, zoals dat de informatievordering kan worden aangevochten door een beroep te doen op zogenaamde ‘comity rights’. Het is dan een rechter in de VS die de rechtmatigheid van de verwerking in voorkomende gevallen zal toetsen. Ook in een Kamerbrief van 5 oktober 2018 van minister Grapperhaus staan waarborgen genoemd waardoor niet zomaar aan een informatievordering hoeft te worden voldaan. |
Beperkt: de kans dat deze situatie zich voordoet is verwaarloosbaar, gezien de vele eisen en waarborgen. Ook heeft het zich voor zover bekend niet voorgedaan. De impact kan ernstig zijn, gezien de reikwijdte aan soorten gegevens waartoe toegang kan worden verkregen. |
PRISM (lopend sinds 2007) |
PRISM (Planning tool for Resource Integration, Synchronization and Management) is een digitaal programma waarmee informatie (e-mail, chats, foto’s, VoIP-gesprekken) kan worden verzameld bij grote Amerikaanse internetbedrijven. Het is een tool die data analyseert om onregelmatigheden te vinden van een bepaalde persoon. Het wordt ook gebruikt om gegevens over personen buiten Amerika te verzamelen. |
Beperkt: de kans dat deze situatie zich voordoet is verwaarloosbaar, de impact is groot aangezien het gaat om profiling van een persoon. |
USA Freedom Act (van toepassing sinds 2-6-2015) |
Amerikaanse autoriteiten hebben onder bepaalde voorwaarden toegang tot persoonsgegevens die zijn opgeslagen buiten de VS. Het moet wel gaan om een Amerikaanse organisatie en er moet sprake zijn van één van de volgende drie criteria: possession, custody of control. |
Beperkt: de kans dat deze situatie zich voordoet is verwaarloosbaar. De impact kan groot zijn, gezien de reikwijdte aan soorten gegevens waartoe toegang kan worden verkregen |
Voor de volledigheid, het is niet zo dat alleen Amerikaanse overheidsdiensten persoonsgegevens van Europeanen kunnen inzien. Ook in andere EU en niet-EU landen bestaat wetgeving met dergelijke bevoegdheden.
Privacy Shield is op 23 oktober 2019 voor de derde keer geëvalueerd. Deze jaarlijkse beoordeling is vooral positief uitgevallen, met enkele punten voor verbetering. Zo wordt het toezicht op de naleving van het zelfcertificeringsmechanisme beter en systematischer uitgevoerd en maken steeds meer Europeanen gebruik van hun Privacy Shield-rechten.
Een risico met betrekking tot Privacy Shield is een rechtszaak (Schrems II) die momenteel loopt voor het Europese Hof van Justitie. In deze zaak wordt bekeken of Privacy Shield voldoende bescherming biedt tegen inzage in persoonsgegevens van Europeanen door Amerikaanse overheden. In deze rechtszaak staan ook de ‘standard contractual clauses’ (hierna) ter discussie. Welke gevolgen dit op termijn heeft voor deze twee instrumenten voor doorgifte is momenteel nog onduidelijk. Op deze pagina houden wij u op de hoogte.
Op grond van art. 44 AVG mogen persoonsgegevens alleen in een derde land (niet-EU landen) worden verwerkt, indien wordt voldaan aan de voorwaarden in hoofdstuk 5 van de AVG. In dit hoofdstuk is bepaald dat doorgifte aan derde landen o.a. mogelijk is in de volgende gevallen.
De Europese Commissie (EC) heeft besloten dat (een sector in) het derde land een passend beschermingsniveau biedt (adequaatheidsbesluiten, art. 45 AVG). Het gevolg van een adequaatheidsbesluit is dat geen aanvullende afspraken nodig zijn met de organisatie in het betreffende land.
Een modelovereenkomst van de EC is afgesloten (Standard Contractual Clauses (SCC), art. 46 lid 2 onder c AVG). Dit is een door de EC goedgekeurde set contractuele afspraken tussen een Europese data-exporteur en Amerikaanse data-importeur.
Bindende bedrijfsvoorschriften (Binding Corporate Rules, BCR, 46 lid 2 onder b jo. art. 47 AVG) zijn afgesloten. BCR’s zijn interne privacyregels voor multinationals. Voor entiteiten van de multinational binnen de EU blijft de AVG het minimum bepalen. Voor entiteiten buiten de EU geldt dat voldaan moet worden aan de BCR. Een BCR moet in overeenstemming zijn met de AVG en moet zijn goedgekeurd door de toezichthouder. In een kamerbrief van 16 september 2019 staat vermeld dat de wachttijd voor goedkeuring momenteel 3 tot 5 jaar is.
Een overeenkomst is afgesloten die is goedgekeurd door de toezichthouder.
Daarnaast zijn er uitzonderingen voor specifieke situaties (art. 49 AVG) en de mogelijkheid van gedragscodes of certificeringen, maar die zijn (momenteel) niet of nauwelijks van belang in dit kader. Ook het doorgeven van persoonsgegevens van burgers op grond van hun toestemming zal niet snel tot de mogelijkheden behoren, nu het overgrote deel van de gemeentelijke verwerkingen niet op toestemming kan worden gebaseerd, hetzij omdat er een andere grondslag is voor de verwerking, hetzij die toestemming niet in vrijheid zal kunnen worden gegeven door de burger.
Voor doorgifte naar landen binnen de EER geldt overigens dat het andere EER-land 'slechts' moet voldoen aan de AVG. Organisaties in die landen moeten dus minimaal voldoen aan de AVG.
Dit nieuwsbericht is ook te vinden in het dossier AVG
