Max Schrems is een Oostenrijker die van privacy een missie maakt sinds hij erachter kwam hoeveel persoonsgegevens Facebook van hem had. Nadien diende Schrems een klacht in bij de Ierse privacywaakhond. Die klacht werd afgewezen en Schrems stapte naar de rechter. Uiteindelijk heeft zijn inspanning ervoor gezorgd dat het EU/VS privacy shield (privacyshield) ongeldig werd verklaard door het Hof van Justitie van de Europese Unie (HvJEU). De reden van deze ongeldigheid zit in het beschermingsniveau dat de VS biedt voor privacy. Dat is niet gelijkwaardig aan de AVG en dat is niet toegestaan.
Het privacyshield was een z.g. adequaatheidsbesluit van de Europese Commissie, een soort verdrag. Dat maakte het mogelijk om persoonsgegevens te verwerken in de VS. Nu dat privacyshield ongeldig is, mag je niet zomaar gebruik maken van dienstverleners in de VS, zoals bijvoorbeeld Mailchimp en Facebook. Mailchimp is een online service die wordt gebruikt voor nieuwsbrieven. Mailchimp heeft haar servers in de VS staan[i]. Ook Facebook kan gegevens verzenden naar de VS[ii].
Samenwerken met dergelijke partijen in de VS kan nog met modelcontract. Zo’n modelcontract is een contract dat de EU beschikbaar gesteld heeft. De partij buiten de EU is immers niet gebonden aan de AVG. DE AVG geldt alleen in de EU. Het modelcontract beoogt om de partij buiten de EU te verplichten tot een beschermingsniveau voor privacy dat gelijkwaardig is aan de AVG. Maar als het privacyshield onvoldoende bescherming biedt, hoe kan een contract dat dan ‘repareren’? Zo’n contract is volgens het HvJEU dan ook niet genoeg. Er zijn ook aanvullende maatregelen nodig om het veiligheidsniveau op Europees pijl te brengen. En dat laatste is wat Schrems recent heeft ‘getest’ bij de Oostenrijkse privacywaakhond (www.dsb.gv.at).
Schrems heeft een stichting opgericht met de veelzeggende naam: None Of Your Business, afgekort NOYB. Deze stichting diende 101 klachten in bij diverse Europese privacywaakhonden. Een daarvan was neergelegd bij de Oostenrijkse Datenschutz behörde (hierna: ‘DSB’). Bij deze instantie werd geklaagd over Google Analytics. Google Analytics is een tool die draait op veel websites en houdt statistieken bij, zoals het aantal unieke bezoekers.
De DSB concludeerde de website waarop Google Analytics actief was, diverse gegevens van de bezoeker bijhield, waaronder het IP – adres en bezochte pagina’s. Zeker de gegevens bij elkaar maken de ‘digital footprint’ van de bezoeker uniek, aldus de DSB. Daarbij overweegt de DSB ook dat juist unieke ‘identifiers’ zoals een IP – adres voor veiligheidsdiensten ook de aanleiding kunnen zijn voor surveillance. En vroeg of laat valt kan men dan informatie combineren en iemand identificeren.
Daarbij komt dat de data wordt bewaard in de VS. Dat is niet meer mogelijk op basis van het privacyshield. Daarom werd een beroep gedaan op een modelcontract met aanvullende maatregelen, zoals encryptie. Maar encryptie wordt door de DSB niet als voldoende bestempeld. Google is in de VS gebonden aan wetgeving die haar kan verplichten om de cryptografische sleutel beschikbaar te stellen. En zolang de data kan worden ontsloten in leesbare tekst door Google wordt geen voldoende bescherming geboden met encryptie, aldus de DSB.
Inmiddels heeft de Autoriteit Persoonsgegevens laten weten dat zij n.a.v. de uitspraak van de DSB een onderzoek doet naar het gebruik van Google Analytics. Vooruitlopend daarop is al gewaarschuwd dat Google Analytics mogelijk binnenkort niet (meer) toegestaan is. De vraag is of hierna nog andere veelgebruikte dienstverleners volgens, zoals Mailchimp, Asana[iii], en Facebook. Een modelcontract en encryptie zijn in Oostenrijk niet genoeg. Zou Nederland volgen?
Volg ons blog op www.heijinkenmeure.nl/privacy
Arie Heijink is advocaat en partner bij Heijink & Meure advocaten
[i] https://mailchimp.com/help/mailchimp-european-data-transfers/
[ii] https://www.facebook.com/privacy/explanation/
[iii] https://asana.com/nl/terms#storage-transfer-protection-of-your-information
© Heijink & Meure advocaten
