Vertrouw je jouw kindje toe aan POTUS?
Deze zomer is bepaald dat het Privacy Shield niet langer voldoet. Doordat dit de basis is voor uitwisseling van data tussen de EU en de VS, is er sindsdien veel onduidelijkheid over wat de exacte gevolgen zijn. In dit artikel zal ik proberen hierop antwoord te geven, al moet je uiteraard je realiseren dat dit stuk geen juridisch advies is. Het dient puur om je de gevolgen voor jouw situatie beter te laten overzien.
Vaak worden diensten gebruikt die gekoppeld zijn met andere delen van de martech stack, waardoor even snel overstappen niet mogelijk is. De volgende, logische vraag is dan ook, waarom wordt er niet al een deel van de software in de EU gehost? De markt is groot genoeg, de technieken zoals virtualisatie en containerisatie zoals Docker, zijn breed beschikbaar en volwassen voor productie. Over hosting hoeven we het niet eens te hebben. Op mijn vragen hierover aan MailChimp en ActiveCampaign, krijg ik vage antwoorden die er grofweg op neerkomen dat de IT'ers zich liever focussen op het maken van software, dan dat ze zich drukmaken over allerlei regeltjes. Erg 2010, als je het mij vraagt.
Safe Harbour, Privacy Shield, what's next?
Privacy Shield is niet de eerste wetgeving die de data-uitwisseling tussen de VS en EU moest regelen. Twintig jaar geleden is gestart met Safe Harbour, wetgeving die bepaalde dat data met Amerikaanse bedrijven uitgewisseld mochten worden. Vervolgens is in 2015 ook bepaald dat deze niet voldeed, waarna de Privacy Shield als een Safe Harbour 2.0 werd geïntroduceerd. Toen werd ook al meteen gesteld dat de essentie niet veranderde, namelijk de Amerikaanse staat doet aan 'mass surveillance' en daarbij routineus data opeist bij Amerikaanse bedrijven (dankzij de Cloud act). Dit kan zonder tussenkomst van rechters en zelfs met data van buiten de US.
Eigenlijk valt als opvolging van de Privacy Shield een Safe Harbour 3.0 niet te verwachten, doordat de GDPR/AVG hier compleet geen ruimte voor laat (al zeg nooit nooit, de AP oppert deze optie wel in een artikel van 11 november 2020). Als vervanging van het Privacy Shield hebben de meeste SAAS-aanbieders de bewoording aangepast, waarbij de Amerikaanse bedrijven importeur zijn en hun klanten exporteur van data...
Wat betekent dit concreet?
Data exporteren deed je dus in feite al, maar nu is het ook als zodanig benoemd. Met alle verantwoordelijkheden van dien, die je niet had onder het Privacy Shield. Hierdoor is iedere doorgifte (lees export, een verantwoordelijke die data doorgeeft) al snel een overtreding van de AVG.
Data exporteren deed je dus in feite al, maar nu is het ook als zodanig benoemd. Want waar voorheen SCC's (Standard Contractual Clauses) uit het modelcontract van de Europese Commissie nog volstonden als passende waarborg, doen ze dat nu niet meer. Dat komt doordat het Europees Hof voor de VS tot de conclusie kwam er in de VS geen 'in essentie gelijkwaardig' beschermingsniveau gegarandeerd kon worden. De afspraken uit de SCC's zijn dan alleen op papier een bescherming. Hierdoor word je als data exporteur vereist om naast deze SCC's zeker te maken dat het beschermingsniveau gelijkwaardig aan de AVG zal zijn. Dus kan de ontvangende partij zijn belofte wel waarmaken? Is men in staat om de mass surveillance van de VS te omzeilen? En ja, hoe je dat controleert, dat vertelt het Europese Hof er natuurlijk niet bij ;-) Dit deel is mijns inziens het meest slechte van deze uitspraak, want voor het MKB is een dergelijke analyse natuurlijk onmogelijk, dus hoe verder?
Eerste stappen
Mocht je alle datastromen buiten de EU nog niet in kaart hebben gebracht, dan is dat natuurlijk stap één, maar ik ga er vanuit dat je dit wel op orde hebt. Let bij deze analyse uiteraard ook op de subverwerkers, dat deze niet alsnog ook in de VS jouw data opslaan. Kun je de externe datastromen schuiven naar de EU, dan is dit natuurlijk de meest logische keuze.
Aanvullend kun je natuurlijk de data minimaliseren of versleutelen. Dit is niet in alle gevallen mogelijk, maar waar dat kan, is dat een mogelijke 'quick win'. Als je het verzenden en de opslag kunt versleutelen, en de key wordt door een Europese organisatie bewaard, dan kun je zonder zorgen SCC's gebruiken.
Vervolgens is het zaak om je gebruikers/abonnees of over wie je de data dan ook verzamelt, te informeren. Vertel deze over de voorzorgsmaatregelen en als deze nog in ontwikkeling zijn, neem dat erbij op. Laat zien dat je AVG compliant bent, of dat je hieraan werkt.
Is deze uitspraak definitief?
Ja. Ik ben niet goed in sugercoaten, maar dat is ook niet echt mogelijk. Dit is een uitspraak van de hoogste rechtbank, het Europees hof van justitie, waartegen geen beroep mogelijk is.
Wat is er te verwachten van de toezichthouder?
Dit is een goede, terechte vraag. Bij het afschaffen van het Safe Harbour, werd er een 9 maanden overgangssituatie geschept waarbij overtredingen werden gedoogd. Nu niet. Anderhalve week geleden heeft de AP wel een artikel gepubliceerd, die eigenlijk herhaalt wat hierboven al beschreven is, met als afsluiting "Commentaar welkom". Voor wie zich geroepen voelt. Dit geeft dus aan dat ze niet heel pro-actief is begonnen met handhaven, maar dat kan natuurlijk ook zomaar veranderen.
Bieden SCC's bescherming?
In bovenstaand artikel staat ook een Roadmap van de EDPB, die mij verbaasde. Hierin staat namelijk dat SCC's potentieel een 'transfer tool' zijn die (toch) garantie op voldoende bescherming kunnen bieden. Mijns inziens is dit onmogelijk, door de Amerikaanse wetgeving als de Cloud Act zoals eerder omschreven, tenzij je de data encrypted verstuurt. Eerder schreef FollowTheMoney ook dat SCC's niet voldeden, dus op de lange termijn lijkt dit niet houdbaar. Maar mocht je hier anders over denken, laat het me weten in het commentaar!
Wat zeggen MailChimp en ActiveCampaign hierover?
Voor MailChimp lijkt het business as usual: "Although the Court invalidated the Privacy Shield, it upheld Standard Contractual Clauses, or SCCs, as a valid legal mechanism governing data transfers between the EU and US. SCCs are automatically incorporated into our Data Protection Addendum, which in turn forms part of our Standard Terms of Use, and automatically takes effect.
We're reviewing the Court's decision carefully. We're closely monitoring the situation for emerging guidance to determine whether we'll need to make any additional changes to our practices. Having said this, as long as our users' have agreed to our terms of use, there's no further action needed to resume normal account activity."
En ActiveCampaign lijkt nog iets meer open te staan voor oplossingen, via hosting in de EU, maar is daarin nog niet concreet: "Customer success is our top priority, and that includes protecting our customers' data. We are constantly evaluating security options as our goal is to go above and beyond baseline compliance needs. We do not currently operate any data centers in the EU, but we have not ruled them out."
Ook de nieuwe privacy policy van Airbnb en Instagram van vorige week, maken nog gebruik van dezelfde SCC's en wordt "alle nodige data" gedeeld met het hoofdkantoor in de VS, plus in het geval van Instagram, ook deels aan adverteerders.
En wat zegt de DDMA hierover?
“Je datastromen inzichtelijk maken was al verplicht sinds de AVG, en daarbij hoort dat je weet welke gegevens de EU uit gaan. Sinds de Schrems II uitspraak van het Europese Hof zijn we de makkelijkste optie om op rechtmatige manier data naar de VS te sturen kwijt. SCC’s bestaan al lang, maar zijn sinds de Schrems II uitspraak geen geldige optie meer als de ontvangende partij en het type data binnen het bereik van de wetgeving voor Amerikaanse inlichtingendiensten vallen.
"Het is de moeite waard om te kijken naar Europese alternatieven als die er zijn"
Het is nu aan de organisatie die data doorgeeft naar de VS om dat te beoordelen, en om te kijken met welke maatregelen je dat kunt ‘repareren’. Dat is een grote verantwoordelijkheid, die zorgt voor veel onzekerheid. Daarom is het de moeite waard is om te kijken naar Europese alternatieven als die er zijn. Uiteraard hopen we dat er snel een vervanger komt voor het Privacy Shield, met de Amerikaanse verkiezingen lijkt dat een klein stapje dichterbij gekomen, maar Europese instituten zullen voorzichtig zijn om een vervangend systeem goed te keuren. De echte oplossing is immers politiek, en ligt bij het aanpassen van de manier waarop er in de VS met onze gegevens wordt omgegaan.”
Dus toch maar niet exporteren?
Dit is natuurlijk per saldo wel de makkelijkste oplossing vanuit onder andere juridisch perspectief. Er zijn goede pakketten beschikbaar die niet onderdoen voor MailChimp of ActiveCampaign. Keuze genoeg met vast ook wel jouw integraties en grote kans dat de support beter Nederlands spreekt; wel handig. Plus emailmarketing is traditioneel het kanaal met de hoogste return on marketing investment, dus penny wise is pound foolish!
Simpele keuze
Werk aan de winkel dus, als je nog geen actie hebt ondernomen. Maar laat je ook niet gek maken. Analyseer of je de tool(s) onvervangbaar vindt en dring aan op Europese hosting (bij een nieuwe Europese entiteit uiteraard). Als privacy een belangrijk onderdeel is van je merkbelofte, dan lijkt mij de keuze simpel. Succes!
PS. Dit artikel is eerder gepubliceerd op MarketingFacts