Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: Data opslaan buiten Europa onmogelijk?

maandag 18 juli 2022

Sinds het wegvallen van het EU-VS privacy shield is het opslaan van data in de Verenigde Staten een stuk ingewikkelder geworden.

Althans, dat blijkt na recente uitspraken van de Oostenrijkse en de Franse toezichthouder omtrent het gebruik van Google Analytics. Voldoen aan hoofdstuk V van de AVG, het hoofdstuk omtrent doorgifte blijkt in de praktijk een bijna onmogelijke opgave. 

Even terug naar het begin. In 2020 heeft het Europese Hof van Justitie het EU-VS privacy shield ongeldig verklaard, het was niet meer mogelijk om op basis van deze overeenkomst data te sturen naar de VS. Geen probleem zeiden grote techbedrijven als Google en Microsoft omdat ze ook gebruik maken van de Standard Contractual Clauses (CSS’s) van de Europese Commissie. Dit zijn modelcontracten die gebruikt kunnen worden om data te versturen naar landen waarmee de EU geen adequaatheidsbesluit heeft genomen.  

De oplossing leek dus eenvoudig: geen privacy shield maar nieuwe contracten. De nadruk ligt op léék, want in februari 2022 kwam de Oostenrijkse toezichthouder met besluit waarin stond dat websites geen gebruik mogen maken van Google Analytics omdat data wordt opgeslagen in de VS. Dit ondanks dat er gebruik wordt gemaakt van de SSC’s.  

De Franse toezichthouder verwijst in haar besluit naar een uitspraak van het Europese Hof van Justitie. In deze uitspraak geeft het Hof aan dat het gebruik van SSC’s in de praktijk mogelijk niet voldoende is om een doeltreffende bescherming van persoonsgegevens te waarborgen. Hier kan sprake van zijn in landen waarin de autoriteiten wettelijke mogelijkheden hebben om in te grijpen in de rechten van betrokkenen. In het kader van de VS is hier sprake van, volgens het Hof hebben de autoriteiten in de VS vergaande mogelijkheden om data op te eisen.  

Om gebruik te maken van de SSC’s moeten er dus aanvullende maatregelen worden getroffen, zogenoemde TOMs: technische en organisatorische maatregelen. In het geval van Google Analytics worden de gegevens versleuteld. Toch is dit volgens de toezichthouders geen effectieve maatregel omdat Google de mogelijkheid heeft om de gegevens te ontsleutelen en hiermee data beschikbaar kan stellen aan de autoriteiten. Dat het hier ‘slechts’ gaat om online identifiers in het kader van Google Analytics doet hier niet aan af.  

Voor de praktijk heeft dit tot gevolg dat het afsluiten van SSC’s primair niet voldoende is. Organisaties moeten ook onderzoek doen naar de wetgeving in het land van doorgifte en op basis hiervan maatregelen treffen. Een lastige opgave voor de praktijk. 

Wilt u persoonsgegevens opslaan buiten de EER?
L2P helpt u graag bij alle vraagstukken omtrent doorgifte.