Service Level Agreements (SLA’s) bij ICT-contracten

Webinar on demand

Contracteren over auteursrechten
Een analyse na de wet van 19 juni 2022

Webinar on demand

Privacy en gegevensbescherming:
in conflict met de GBA

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten opstellen en beoordelen

Webinar on demand

De nieuwe kleren van de keizer: US Executive Order moet Data transfers tussen EU en US herstellen (Sirius Legal)

Auteur: Bart Van den Brande (Sirius Legal)

Wie zich het sprookje van de keizer nog herinnert, weet vast nog dat die keizer in zijn blootje liep… Wel, het nieuwe US Executive Order lijkt ook niet veel kleren om het lijf te hebben.

Gegevens verwerken in Amerikaanse cloudoplossingen of samenwerken met partners in de VS als daarmee persoonsgegevens uitgewisseld worden is al jarenlang een ernstig juridisch probleem.  Sinds het Schrems II arrest van het Europees Hof van Justitie het oude Privacy Shield tussen de VS en de EU, onderuit haalde, is het immers quasi onmogelijk voor Europese bedrijven om populaire toepassingen als Google Analytics, Mailchimp, Office365 of Google Workspace te gebruiken zonder daarbij monsterboetes te riskeren.

Een nieuwe “Executive Order” van President Biden van 7 oktober 2022 zou dat probleem moeten oplossen, maar bij een eerste analyse blijkt ook bij deze derde poging -na het al vermelde Privacy Shield en enkele jaren voorheen het al even zielloos ten onder gegane Safe Harbour- dat de VS niet in staat is om een systeem op poten te zetten dat de privacy van Europese burgers op afdoende wijze kan beschermen.

Hoe zat dat ook weer met die data export?

Heel wat technologiebedrijven zitten in de Verenigde Staten en er is bijgevolg heel wat data-export of export van persoonsgegevens van de EU naar de VS.  Omdat de privacywetgeving in de VS echter absoluut niet hetzelfde “adequate” niveau haalt als de strenge vereisten die GDPR in de EU vooropstelt, is de VS nooit op de korte lijst met “veilige landen” geplaatst door de EU.

Om ervoor te zorgen dat Amerikaanse bedrijven toch handel konden blijven voeren met partners in de EU bestond achtereenvolgens het Safe Harbour principe en het Privacy Shield.  Twee samenwerkingsprotocollen tussen de EU en de VS op basis waarvan Amerikaanse bedrijven geacht werden “veilig” en vertrouwelijk met Europese data om te gaan.

Alleen bleek tot twee keer toe in de Schrems I en Schrems II arresten van het Europees Hof van Justitie dat die veiligheid en vertrouwelijkheid een illusie waren.  Het Europees Hof besliste tot twee keer toe sinds 2015  -zeer terecht overigens- dat er in de VS geen sprake was van een beschermingsniveau dat gelijkwaardig is aan het beschermingsniveau dat bestaat binnen de EU. De reden daarvoor is en was de vergaande inmenging van Amerikaanse inlichtingendiensten, die systematisch en op grote schaal data monitoren uit bijvoorbeeld e-mails en cloudopslagdiensten op basis van bijvoorbeeld de Foreign Intelligence Surveillance Act (FISA), de CLOUD Act of Executive Order 12333. Het Hof verklaarde het Privacy Shield dan ook -terecht- ongeldig in 2020.

Sindsdien is data export naar de VS een groot juridisch probleem voor Europese bedrijven en het risico op erg hoge boetes in de voorbije 2 jaar meer dan reëel gebleken.  Recent nog werden Oostenrijkse en Franse bedrijven veroordeeld omdat ze door het gebruik van Google Analytics op hun website persoonsgegevens delen met Google in de VS zonder daarvoor over een gepaste rechtsgrond te beschikken.

Een nieuwe Executive Order als aanloop naar een nieuw akkoord?

Eerder dit jaar beloofden Commissievoorzitster Ursula von der Leyen en de Amerikaanse president Joe Biden in een gezamenlijke verklaring in Brussel dat ze voor eind 2022 zouden zorgen voor een opvolger van het gevallen Privacy Shield, zodat Europese bedrijven opnieuw zonder risico persoonsgegevens zouden kunnen verwerken via alle onmisbare Amerikaanse tools die bedrijven dagelijks gebruiken.

Om zo’n nieuw akkoord mogelijk te maken, moest eerst een nieuwe Executive Order afgekondigd worden door president Biden. De wijze waarop en de mate waarin Amerikaanse inlichtingendiensten toegang kunnen nemen tot Europese data én de wijze waarop Europese burgers zich bij de Amerikaanse overheid kunnen beklagen over ongeoorloofde toegang tot hun data is daarbij allesbepalend.  Europese data mag enkel toegankelijk zijn voor Amerikaanse inlichtingendiensten als dat “noodzakelijk” is voor de veiligheid van de VS en als dat “proportioneel” gebeurt én de Europese burger bij eventuele inzage naar een rechtbank in de VS kan stappen om inbreuken op zijn of haar privacy aan te kaarten.

Die Executive Order werd nu afgekondigd op 7 oktober, maar tot hiertoe ziet het er niet naar uit dat de inhoud ervan op korte termijn een oplossing brengt voor de vele Europese bedrijven die vandaag in strijd met het Europees recht persoonsgegevens van Europese burgers verwerken in Amerikaanse softwaretoepassingen.

Wat staat er dan in die Executive Order en waarom is dat een probleem?

Een Executive Order is geen echte wet.  Het is eigenlijk een interne richtlijn van de Amerikaanse president.  In deze specifieke Executive Order regelt president Biden de manier waarop inlichtingendiensten in de toekomst op systematische wijze Europese datastromen mogen monitoren en uitlezen.

Het probleem in het verleden was dat hetmonitoren van Europese data volgens het Europees Hof van Justitie niet voldeed aan twee basisprincipes uit het Europese recht en meer bepaald uit de GDPR: elke verwerking van persoonsgegevens moet noodzakelijk enproportioneel zijn en dat was absoluut niet het geval voor de wijze waarop Europese data systematisch en quasi onbeperkt uitgelezen werd.

Bij een eerste onderzoek van de nieuwe Executive Order is het duidelijk dat de juristen van de Amerikaanse president zeer goed begrepen hebben waar de angel zit.  Alleen is in een eerste lezing meteenduidelijk dat de oplossing die ze voordragen niet meer dan wat cosmetische opsmuk is.

De facto heeft men eigenlijk enkel wat woorden in de oude teksten aangepast en heeft men de vroegere tekst waarin sprake was van inzage “zo veel mogelijk op maat” (“as tailored as feasible”) aangepast om er de door de EU verwachtte terminologie (“proportioneel” en “noodzakelijk”) voor in de plaats te zetten.

Dat zou het probleem theoretisch gezien ook wel kunnen oplossen, als tenminste die begrippen in de VS dezelfde betekenis zouden hebben als in de EU en dat is precies niet het geval.  “Noodzakelijk voor de veiligheid van de VS” en “proportioneel aan de belangen van de betrokkene” worden door Amerikaanse inlichtingendiensten geheel anders ingeschat dan door het Europees Hof van Justitie en er is geen enkele aanwijzing dat dat op korte termijn zal veranderen.  Alles wijst erop dat ook onder deze nieuwe Executive Order de systematische monitoring van Europese data onder de FISA en Cloud Act gewoon zullen doorgaan en dat er inhoudelijk weinig of geen verandering verwacht moet worden.

Bovendien schiet de nieuwe Executive Order op een tweede fundamenteel punt tekort vanuit het oogpunt van EU-recht.  Het Europees Hof van Justitie maakte immers duidelijk dat de Europese burgers gegarandeerde toegang moetenkrijgen tot onafhankelijke Amerikaanse rechtbanken om de Amerikaanse overheid verantwoordelijk te houden voor eventuele inbreuken op hun privacy.  Dat was in het verleden niet zo omdat er enkel een “ombudsman” bestond binnen de Amerikaanse overheid  die kennis nam van klachten van Europese burgers.  Van enige onafhankelijkheid of van garanties voor de basisrechten van Europese burgers was geen sprake.

Ook hier blijkt de aangedragen oplossing in de nieuwe Executieve Order jammer genoeg puur cosmetisch.  Van echte toegang tot Amerikaanse rechtbanken is immers geen sprake.  De Executive Order creëert weliswaar een nieuwe “rechtbank”, maar bij nader order is die “rechtbank” toch niet wat het Europese recht daaronder verstaat.  Het blijkt immers te gaan om een administratieve functie binnen de Amerikaanse overheid zelf, met bovendien zéér beperkte bevoegdheden en een allesbehalve transparante en onafhankelijke procedure.  Wie bij de nieuwe “rechtbank” een klacht indient wegens inbreuken op zijn of haar privacy, mag zich verwachten aan een geheime procedure achter gesloten deuren die tot slechts 2 vooraf afgelijnde beslissingen kan leiden: ofwel beslist de rechtbank (op basis van een geheim dossier dat zelfs de klager niet kan inzien) dat er géén inbreuk op de privacy heeft plaatsgevonden ofwel meldt de rechtbank dat dat wel zo was (maar zonder verplichting om welk detail dan ook vrij te geven) en dat zij bevolen heeft om hieraan te verhelpen (maar zonder verplichting om details vrij te geven over hoe dat zou moeten gebeuren). Vanuit  het oogpunt van de rechten van de verdediging zoals wij die in Europa kennen is dit in onze ogen onmogelijk te verantwoorden.

Schrems III in de maak?

De eerste reacties van privacyjuristen na de afkondiging van de nieuwe Executive Order spreken boekdelen.  De tekst oogt immers inderdaad zeer dunnetjes en getuigt ons inziens van weinig kennis van en respect voor het Europese recht en de werking van de Europese instellingen.

We kunnen ons immers niet indenken dat de Europese Commissie hier genoegen mee neemt als basis voor een nieuw akkoord of dat het Europees Hof van Justitie plots anders zal gaan denken over FISA en de Cloud Act bij een derde poging om deze “verkocht” te krijgen aan Europese burgers.  Als er op basis van deze Executive Order al een akkoord tussen de VS en de EU zou komen, is dat ons inziens meteen een Schrems III arrest aankomen…

De volgende stap is dat de Europese Commissie begint te onderzoeken of zij op basis van deze Executive Order een zogenaamd “adequaatheidsbesluit” kan opstellen dat uitwisseling van persoonsgegevens met de VS opnieuw mogelijk maakt.  Dat adequaatheidsbesluit moet voor advies via de EDPB en moet goedgekeurd worden door de Europese Raad (door de lidstaten zelf dus). Dat proces zal ongetwijfeld nog een hele poos duren en een formeel nieuw besluit is niet te verwachten voor ergens halfweg 2023, áls het er al kan komen op basis van deze toch weinig geruststellende tekst.

Als er inderdaad een adequaatheidsbesluit volgt in 2023, kunnen Europese bedrijven weer met een gerust hart werken met Amerikaanse tools.  Tenminste tot het Europees Hof van Justitie opnieuw roet in het eten zal komen strooien en zoals de kaarten vandaag liggen is dat eigenlijk nu al een Kroniek van een aangekondigde dood…

Wat betekent dat voor jouw bedrijf?

Voorlopig verandert er voor Europese bedrijven niets.  Data exports naar de VS blijven juridisch gezien een groot probleem en dat zal nog minstens tot halfweg 2023 zo blijven.  Wie toch Amerikaanse tools zoals Google Analytics, Mailchimp, Sharpspring, Salesforce, Active Campaign of duizenden anderen gebruikt, stelt zich bloot aan aanzienlijke boetes.

Wil je toch data transfereren naar de VS of verwerken in een Amerikaanse tool?  Weet dan dat je enerzijds moet zorgen voor voldoende juridische basis (Standard Contract Clauses) en dat je anderzijds een grondige en gedocumenteerde risicoanalyse (Data Transfer Impact Assessment) moet uitvoeren én daarbij moet beslissen om waar mogelijk bijkomende waarborgen in te bouwen (de facto in de vorm van totale third party encryptie van je data).

Bron: Sirius Legal