01 okt Privacy Update
Uitspraak Hof baanbrekend: Privacy Shield ongeldig
Het Europees Hof heeft deze zomer een baanbrekende uitspraak gedaan over de uitwisseling van persoonsgegevens tussen de EU en de VS.
De Algemene verordening gegevensbescherming (AVG) stelt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan personen of organisaties die buiten de Europese Economische Ruimte (de zogenaamde ‘derde landen’) zijn gevestigd. Dat mag alleen als er in die derde landen sprake is van het door de AVG gewaarborgde beveiligingsniveau. Op basis van de AVG kan doorgifte aan derde landen plaatsvinden op basis van:
- adequaatheidsbesluiten;
- passende waarborgen;
- (model)contracten.
Eerder schreven we in onze nieuwsbrief al over het Safe Harbor-verdrag waarin afspraken waren gemaakt tussen de EU en de VS over de uitwisseling van persoonsgegevens. Organisaties die zich bij het verdrag aansloten werden gezien als organisaties die veilig omgingen met Europese persoonsgegevens. De Oostenrijkse privacy-activist Schrems betoogde destijds succesvol dat de VS geen adequaat beschermingsniveau bood op basis waarvan persoonsgegevens vanuit de EU naar de VS konden worden doorgegeven. Het Europees Hof verklaarde vervolgens het Safe-Harbor verdrag, op basis waarvan de uitwisseling van persoonsgegevens tussen de EU en VS destijds plaatsvond, op 6 oktober 2015 ongeldig.
Safe Harbor werd opgevolgd door het zogenaamde EU-VS Privacy Shield dat een betere bescherming van persoonsgegevens van Europese burgers in de VS moest bieden. De Amerikaanse overheid zou op basis van het Privacy Shield enkel nog strikt noodzakelijke data moeten kunnen inzien. Onlangs heeft het Europees Hof in het Schrems II-arrest bepaald dat ook het Privacy Shield onvoldoende bescherming van met de VS uitgewisselde persoonsgegevens garandeert. De Amerikaanse overheid kan namelijk meer data inzien dan binnen Europa is afgesproken. Op grond van Amerikaanse wetgeving hebben inlichtingen- en veiligheidsdiensten het recht om gegevens van EU-burgers in te dienen te gebruiken. Dit gaat de afspraak over het enkel inzien van “strikt noodzakelijke” gegevens te buiten.
Wat betekent deze uitspraak? Nu het Privacy Shield ongeldig is verklaard, kunnen persoonsgegevens van Europese burgers niet langer op basis daarvan met de VS worden uitgewisseld. Het Europees Hof heeft het gebruik van modelcontracten echter wel in stand gelaten. Deze kunnen een geldige grondslag bieden om persoonsgegevens van Europese burgers aan derde landen, waaronder de VS, door te geven. Wel moet dan in de praktijk ook sprake zijn van een gelijkwaardig beschermingsniveau. De Europese Data Protection Board (‘EDPB’) onderzoekt op dit moment de praktische gevolgen van de uitspraak en wat eventuele vervolgstappen kunnen zijn. Op korte termijn worden er vanuit de EDPB richtlijnen verwacht over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.
Hoge boete gebruik vingerafdrukken
De Autoriteit Persoonsgegevens (‘AP’) heeft een boete van EUR 725.000 opgelegd aan een bedrijf dat vingerafdrukken van zijn werknemers verwerkte. De vingerafdrukken werden gebruikt voor aanwezigheids- en tijdregistratie. Na onderzoek concludeerde de AP dat er geen sprake was van een uitzonderingsgrond waarop het bedrijf zich kon beroepen.
Vingerafdrukken behoren net als andere biometrische gegevens tot de categorie ‘bijzondere persoonsgegevens’. Dergelijke gegevens mogen alleen worden gebruikt als daarvoor een wettelijke uitzondering is. De wet noemt onder andere als mogelijke uitzondering voor het gebruik van bijzondere persoonsgegevens uitdrukkelijke toestemming van de betrokkenen of het noodzakelijk gebruiken van biometrische gegevens voor authenticatie of beveiligingsdoeleinden. Op deze uitzonderingen kon het bedrijf in kwestie zich echter niet beroepen.
Of het gebruikmaken van vingerafdrukken voor bijvoorbeeld toegangscontrole is toegestaan, hangt af van de vraag hoe goed beveiligd de toegang van het gebouw/de ruimte of informatiesystemen moet zijn. Zo mag er gebruik worden gemaakt van vingerafdrukken voor het verlenen van toegang tot nucleaire energiecentrales, maar bijvoorbeeld niet bij kassasystemen, omdat daarvoor goede alternatieven bestaan.
Uitdrukkelijke toestemming kon in dit geval ook geen geldige uitzonderingsgrond zijn. Immers, er is sprake van een afhankelijke relatie tussen werkgever en werknemers en om die reden kunnen werknemers het geven van toestemming niet in vrijheid weigeren.
Deze boete laat zien dat gebruikmaking van vingerafdrukken van personeel niet snel is toegestaan. Dat mag alleen als dit noodzakelijk is voor de beveiliging van zeer belangrijke gebouwen of computersystemen en daarvoor geen gelijkwaardige alternatieven bestaan.
Voor vragen of advies over dit onderwerp kunt u contact opnemen met Lise van den Heuvel (06-23492248).
Dit artikel is gepubliceerd in de Nieuwsbrief Vestius van oktober 2020