Risico’s verwerking persoonsgegevens door Amerikaanse partij

Laatste update: 30 november 2020

Bij producten of diensten waarbij persoonsgegevens worden verwerkt in derde landen, zoals opslag in de cloud, een nieuwsbrief, analyses van websitebezoekers of andere tooling is het van belang dat de AVG in acht wordt genomen. Veel technologie komt uit de Verenigde Staten. De belangrijkste aandachtspunten bij verwerkingen door Amerikaanse partijen hebben we op deze pagina op een rijtje gezet.

In onderstaande tabel zijn de verschillende soorten Amerikaanse wetgeving opgenoemd waarbij de overheid op een bepaalde wijze persoonsgegevens over Europese burgers kan verkrijgen. Het specifieke risico staat er ook bij vermeld. In het algemeen adviseren wij het volgende:

Vanwege de risico’s die hieronder beschreven zijn heeft een leverancier in de EER die niet doorgeeft aan onderaannemers buiten de EER,  de voorkeur. Een eigen kosten-baten analyse en risicoafweging kunnen verdere onderbouwing geven aan uw specifieke gemeentelijke situatie.

Wetgeving en jurisprudentie zijn continu in ontwikkeling. Bekijk dan ook regelmatig deze pagina voor updates. Belangrijke updates worden ook aangegeven in de maandmonitor.

Wet	Risico	Geschat risiconiveau
CLOUD Act (van toepassing sinds 23-3-2018)	Bij strafrechtelijk onderzoek kunnen persoonsgegevens in de cloud belangrijke informatie opleveren. Voor de opsporing van een strafbaar feit is het onder de CLOUD Act mogelijk voor Amerikaanse autoriteiten om persoonsgegevens op te vragen bij Amerikaanse cloudproviders, ook als die organisatie de gegevens opslaat buiten Amerika, zoals documenten, foto’s en e-mails. Er zijn wel de nodige waarborgen ingebouwd, zoals dat de informatievordering kan worden aangevochten door een beroep te doen op zogenaamde ‘comity rights’. Het is dan een rechter in de VS die de rechtmatigheid van de verwerking in voorkomende gevallen zal toetsen. Ook in een Kamerbrief van 5 oktober 2018 van minister Grapperhaus staan waarborgen genoemd waardoor niet zomaar aan een informatievordering hoeft te worden voldaan.	Beperkt: de kans dat deze situatie zich voordoet is verwaarloosbaar, gezien de vele eisen en waarborgen. Ook heeft het zich voor zover bekend niet voorgedaan. De impact kan ernstig zijn, gezien de reikwijdte aan soorten gegevens waartoe toegang kan worden verkregen.
PRISM (lopend sinds 2007)	PRISM (Planning tool for Resource Integration, Synchronization and Management) is een digitaal programma waarmee informatie (e-mail, chats, foto’s, VoIP-gesprekken) kan worden verzameld  bij grote Amerikaanse internetbedrijven. Het is een tool die data analyseert om onregelmatigheden te vinden van een bepaalde persoon. Het wordt ook gebruikt om gegevens over personen buiten Amerika te verzamelen.	Beperkt: de kans dat deze situatie zich voordoet is verwaarloosbaar, de impact is groot aangezien het gaat om profiling van een persoon.
USA Freedom Act (van toepassing sinds 2-6-2015)	Amerikaanse autoriteiten hebben onder bepaalde voorwaarden toegang tot persoonsgegevens die zijn opgeslagen buiten de VS. Het moet wel gaan om een Amerikaanse organisatie en er moet sprake zijn van één van de volgende drie criteria: possession, custody of control.	Beperkt: de kans dat deze situatie zich voordoet is verwaarloosbaar. De impact kan groot zijn, gezien de reikwijdte aan soorten gegevens waartoe toegang kan worden verkregen

Voor de volledigheid, het is niet zo dat alleen Amerikaanse overheidsdiensten persoonsgegevens van Europeanen kunnen inzien. Ook in andere EU en niet-EU landen bestaat wetgeving met dergelijke bevoegdheden.

Privacy Shield ongeldig

Eerder was een verdrag tussen de EU en de VS een grond voor doorgifte. Dit zogenaamde Privacy Shield is op 16 juli 2020 door het Europese Hof van Justitie ongeldig verklaard. Dat betekent dat doorgiften aan de VS niet meer gelegitimeerd kunnen worden op basis van een certificering onder Privacy Shield en dat een alternatieve maatregel vereist is. In dezelfde uitspraak heeft het HvJEU bepaald dat modelcontracten nog wel geldig zijn, onder voorwaarden (zie hieronder nadere uitleg).

AVG achtergrond

Onder de AVG gelden aanvullende regels voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EER (= EU + Noorwegen, Liechtenstein en IJsland). Doorgifte aan zogenaamde derde landen is o.a. mogelijk  in de volgende gevallen:

• De Europese Commissie (EC) heeft besloten dat (een sector in) het derde land een passend beschermingsniveau biedt (adequaatheidsbesluiten, art. 45 AVG). Het gevolg van een adequaatheidsbesluit is dat geen aanvullende afspraken nodig zijn met de organisatie in het betreffende land.
• Een van de modelcontracten van de EC is afgesloten (Standard Contractual Clauses (SCC), art. 46 lid 2 onder c AVG). Dit zijn  door de EC goedgekeurde standaard contractuele afspraken tussen een Europese data-exporteur en data-importeur in een derde land. Met het wegvallen van Privacy Shield als maatregel voor doorgifte aan de VS, zullen veel organisaties vertrouwen op de modelcontracten om de doorgifte te legitimeren. Het Hof oordeelt dat modelcontracten nog wel geldig zijn maar dat de verwerkingsverantwoordelijke exporteur van de persoonsgegevens samen met de importeur (verwerkingsverantwoordelijke of verwerker) moet nagaan of het land dat de persoonsgegevens importeert wel een adequate beveiliging biedt. Als dat niet het geval is moeten aanvullende maatregelen worden genomen. Welke maatregelen dat kunnen zijn zoekt de Europese groep van toezichthouders (EDPB) nu verder uit. Ook moet beter worden nagegaan of de exporteur en importeur zich aan de voorwaarden in het modelcontract houden.
• Bindende bedrijfsvoorschriften (Binding Corporate Rules, BCR, 46 lid 2 onder b jo. art. 47 AVG) zijn afgesloten. BCR’s zijn interne privacyregels voor multinationals die alleen intra group doorgiftes legitimeren. In een kamerbrief van 16 september 2019 staat vermeld dat de wachttijd voor goedkeuring momenteel 3 tot 5 jaar is.
• Een overeenkomst is afgesloten die is goedgekeurd door de toezichthouder.

Daarnaast zijn er specifieke uitzonderingen zoals de uitdrukkelijke toestemming van betrokkene voor de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een overeenkomst in het belang van de betrokkene  of de door(art. 49 AVG). Het doorgeven van persoonsgegevens van burgers op grond van hun toestemming zal niet snel tot de mogelijkheden behoren, nu het overgrote deel van de gemeentelijke verwerkingen niet op toestemming kan worden gebaseerd, hetzij omdat er een andere grondslag is voor de verwerking, hetzij die toestemming niet in vrijheid zal kunnen worden gegeven door de burger. Ook bestaat de mogelijkheid van gedragscodes of certificeringen, maar die zijn (momenteel) niet of nauwelijks van belang in dit kader.

Voor doorgifte naar landen binnen de EER gelden geen aanvullende vereisten voor doorgifte bovenop de bestaande eisen van de AVG.

Voor verwerking van persoonsgegevens door andere derde landen dan de Verenigde Staten van Amerika, zoals het Verenigd Koninkrijk na de Brexit, kunt u uw vraag stellen via privacy@vng.nl. Op deze pagina van de Autoriteit Persoonsgegevens vindt u nog meer informatie.