Privacy, de fundamenten: Internationale doorgifte van persoonsgegevens

Show Notes

Welke uitdagingen kom je tegen als je buiten de Europese Economische Ruimte data wilt delen of laten inzien? En hoe kun je daar als privacy professional mee omgaan? 

​In deze aflevering spreken we hierover met Marlon Domingus, Functionaris Gegevensbescherming van Erasmus Universiteit Rotterdam.  

​Deze serie is mede mogelijk gemaakt door CIO Rijk.​

Transcript

Interviewer: Dit is een podcast van het CIP, Centrum voor Informatiebeveiliging en Privacybescherming.

Interviewer: Deze podcast is onderdeel van een serie microlearnings, met als titel: Privacy, De fundamenten. In deze aflevering gaan we in op internationale doorgifte en inzage van persoonsgegevens. Te gast is Marlon Domingus, functionaris Gegevensbescherming bij de Erasmus Universiteit in Rotterdam. Van harte welkom, Marlon. Bij privacy heb je het juridisch gezien over de AVG, de Algemene Verordening Gegevensbescherming. Dat is de Nederlandse versie van de GDPR, de Europese wet. Waarom is internationale doorgifte nog een issue?

Marlon Domingus: Dat is een issue omdat wij regels hebben afgesproken in Europa, die blijken af te wijken van hoe men in zogenaamde derde landen - buiten de Europese Economische Ruimte - tegen zaken als bescherming en privacy aankijkt. Dat betekent dat de gewoontes en eisen daar anders zijn. Als jij in Europa verantwoordelijk bent voor gegevensbescherming en data deelt met een derde land, blijf je daar verantwoordelijk voor. Als de context, maatregelen en standaarden daar anders zijn, blijf je daar eveneens verantwoordelijk voor. Dat is de gap die we oplossen.

Interviewer: Wat betekent dat in de praktijk en wat moet je daar als privacy professional mee doen?

Marlon Domingus: Op drie aspecten, om het eenvoudig te maken. Je hebt gegevens en gegevens. Als je geen persoonsgegevens hebt, wordt het al gemakkelijk. Als je persoonsgegevens hebt, moet je waarborgen hebben zoals dat binnen Europa geldt. Als je bijzondere categorieën van persoonsgegevens hebt, moet je aanvullende waarborgen inbouwen. Het kan zijn dat de partij met wie jij data deelt, de zaken volgens allerlei standaarden goed voor elkaar heeft. De essentie van de AVG is accountability, je moet alles kunnen aantonen. Je moet het niet alleen doen, maar je moet kunnen aantonen dat je het doet. Dat brengt met zich mee dat je in overeenkomsten goede afspraken maakt met elkaar en afdwingt dat de juiste dingen worden gedaan.

Marlon Domingus: Voor de meeste landen is het echt een probleem dat er wetgeving is in het land. Dat is het lastige. In Amerika is bijvoorbeeld allerlei wetgeving waar veiligheidsdiensten gebruik van kunnen maken. Die wetgeving is belangrijker dan een overeenkomst die jij tekent met een bedrijf. Dat kan betekenen dat jij goede afspraken maakt met een Amerikaans bedrijf, maar dat op basis van nationale wetgeving die in hiërarchie hoger ligt, zij aan nationale wetgeving moeten voldoen en bijvoorbeeld onder bepaalde omstandigheden data moeten overdragen aan veiligheidsdiensten. Soms vinden wij dat de waarborgen vanuit een Europees perspectief te gortig zijn voor de toegang van die veiligheidsdiensten tot die data.

Interviewer: Ik begrijp dat daar instrumentarium voor ontwikkeld is. Je bent zelf betrokken geweest bij het ontwikkelen van een data transfer impact assessment (DTIA) vanuit de koepel van universiteiten SURF. Hoe werkt dat als oplossing in zo'n situatie?

Marlon Domingus: Het Privacy Shield werd ongeldig verklaard. Dat was het doorgiftemechanisme - om het even juridisch te zeggen - op basis waarvan je zonder problemen data kon doorgeven aan Amerika alsof het een Europees land was. Maar met het vernietigen van dat Privacy Shield werd Amerika ineens een derde land. Dat betekent dat je aan allerlei voorwaarden moet voldoen, omdat je niet zomaar data met een derde land mag delen. Toen ontstond er paniek, want heel veel clouddiensten zijn Amerikaans en heel veel data staat in Amerika. Het probleem was: wat mogen wij wel en niet met Amerika uit uitwisselen? Dat is niet triviaal, want al onze diensten staan allemaal in Amerika en zijn onderhevig aan nationale Amerikaanse wetgeving.

Marlon Domingus: Zoom, Microsoft, Google, verzin het maar. Dat was het probleem. Wat mag nog wel? Het idee was dat we niets meer mogen. We hebben het probleem proberen op te lossen, ik denk dat we dat ook hebben gedaan, door met een stappenplan te komen. Dat stappenplan is feitelijk een DTIA en het bestaat uit vijf stappen. De eerste stap is dat je de kenmerken van de doorgifte in kaart brengt: om welke data gaat het? Is het groot- of kleinschalig? Inherent zit daar een bepaald risico aan. Dan stel je het doorgiftemechanisme vast. Daar zijn drie smaakjes: het mag niet of het mag op basis van adequaatheidsbesluit. Dat is een besluit van de Europese Commissie, die kijkt of de waarborgen in zo'n land gelijkgesteld kunnen worden aan de beschermingsmaatregelen binnen Europa. Dat besluit is gebaseerd op de gebruiken en de wetgeving van een land.

Marlon Domingus: De derde smaak is: de Standard Contractual Clauses (SCC). Dat is een contract, een overeenkomst, waarmee je afspraken maakt tussen de datadeler en de dataontvanger. Je mag de overeenkomst niet veranderen of eraan tornen. Als je die overeenkomst met een bedrijf kan afspreken, geldt die als voldoende waarborg. Dit lijkt een wassen neus, je zou kunnen zeggen dat je met elke partij of klant SCC's kunt afsluiten. Dit is een soort juridische werkelijkheid, maar je hebt als datadeler - als verantwoordelijke voor de data - de verplichting om te kijken of zo'n partij in zo'n land met wie jij data wilt delen redelijkerwijs kan voldoen aan de verplichtingen uit die SCC's. We zien in de praktijk dat juist Chinese bedrijven de SCC's niet willen tekenen.

Marlon Domingus: Stel dat China een SSC ondertekent en je weet dat die in conflict is met de nationale wetgeving in zo'n land, dan heb jij de verantwoordelijkheid om die overeenkomst niet te sluiten. De volgende stap is het maken van een inventarisatie: wat zijn de risico's bij de data-importeur? Stel dat het mag, dan moet je nog steeds een risico assessment doen. Is er sprake van problematische wetgeving en is de rechtsgang aanwezig? Soms is er wetgeving, maar is er in de praktijk - net als met de Privacy Shield - geen toegang tot het recht mogelijk voor Europese burgers. Dat was een van de belangrijke redenen waarom het Privacy Shield ongeldig werd verklaard. Je moet en inventarisatie doen van belangrijke aspecten en op basis daarvan kun je een risico-inschatting maken.

Marlon Domingus: In die risico-inschatting hebben we als groep geprobeerd om niet alleen te kijken naar de impact, maar ook naar de kans. Ik merk dat mensen risico-inschatting over het algemeen lastig vinden en vooral kijken naar: als dit op straat komt, is de impact hoog, dus dan is het risico hoog. Maar je moet ook kijken naar wat de kans is dat zo'n risico zich voordoet en daar hebben we wat indicatoren voor ontwikkeld. Je kunt kijken wat de kans is dat een veiligheidsdienst - met redelijk vaste patronen - ineens geïnteresseerd zou zijn in bulkdata van een bepaalde universiteit.

Marlon Domingus: Zo kan elke organisatie dit voor zichzelf inschatten. Wat ik mee wil geven is dat het kansaspect van een risico vaak onderschat wordt en dat we daar gezamenlijk in bepaalde sectoren een wat beter gevoel voor kunnen ontwikkelen. Je maakt een risico-inschatting en de vraag is dan met welke maatregelen je die risico's kunt mitigeren, zodat ze van midden naar laag gaan. Bijvoorbeeld, Privacy Enhancing Technologies of aanvullende waarborgen. Uiteindelijk is er iemand vanuit de organisatie die dat risico gaat accepteren en dan kun je besluiten of het wel of niet wordt doorgegeven. Dat is stap vijf. Dat is waar het op neerkomt. Het lijkt op een DPIA, maar je moet heel andere soorten aspecten beoordelen. Wetgeving in een land is een lastige en je moet risico's inschatten van aspecten waar je niet zoveel van weet.

Interviewer: Hoe praktisch uitvoerbaar is dit voor een kleinere organisatie die maar een beperkte juridische staf heeft of maar beperkt internationaal actief is? Wat voor tips heb je voor hen?

Marlon Domingus: Op dit moment bestaat er een framework tussen Amerika en Europa. Dat is een juridische werkelijkheid, in die zin is het probleem opgelost. Er is veel kritiek op dat framework, het idee is dat iemand dat weer gaat aanvechten bij het hof. Het is twee keer eerder ongeldig verklaard. Tot het opnieuw ongeldig wordt verklaard, is dat juridische werkelijkheid. Dat is voor de meeste MKB's, maar ook voor de meeste kleinere organisaties, het grootste probleem. Als je ernaar zoekt, zijn er advocatenkantoren die per land in kaart hebben gebracht wat de risico's zijn gezien vanuit Europees perspectief. Het is een kleurenkaart. Je hebt landen die rood zijn, omdat de wetgeving daar zo anders is of omdat men het begrip privacy of bescherming niet kent.

Marlon Domingus: Je moet een inschatting doen op basis van de risico's van de data, maar ook van het land vanwege dat doorgiftemechanisme. Die geven je een globale indruk of de wetgeving in dat land veilig is of niet. Dat is inderdaad een probleem voor kleinere bedrijven. Het is een gedoe om te snappen hoe die wet in elkaar steekt, maar ook wat het feitelijke gebruik is in de toepassing van die wet. Dat is een probleem en dat is één van de redenen waarom veel derde landen zeggen dat die AVG een handelsbelemmering is. Ik kan er niet meer van maken. Het is best lastig.

Marlon Domingus: Vanuit SURF hebben we gekeken wat de landen zijn waar wij het meest mee samenwerken en hebben daar een top drie van gemaakt. Voor die landen hebben we door een advocatenkantoor een analyse laten maken over hoe die wetgeving in elkaar steekt en wat er over het algemeen over te zeggen valt. De AVG zegt echter dat je niet op landniveau eenmaal een kleurtje kan geven, maar dat je per doorgifte zo'n assessment moet maken. De reden is dat jij een verantwoordelijkheid hebt voor de gegevens van jouw medewerkers of jouw klant. Je wilt niet dat via een achterdeur in een derde land, die data waar jij verantwoordelijk voor bent ineens op straat komt te liggen. Dat gaat niet alleen over reputatieschade, maar ook heel erg over de schade voor de betrokkenen zelf. Zij vertrouwen jou, dat vertrouwen moet jij waarmaken.

Marlon Domingus: De belangrijke instrumenten om internationale doorgifte buiten de werkingssfeer van de GDPR - die wij kennen als de AVG - goed in kaart te brengen, is checken of er een adequaatheidsbesluit voor het land ligt. Dan ben je veilig en heb je een paraplu waar je onder kunt bewegen. Is dat niet het geval, dan moet je kijken of er iets als Standard Contractual Clauses vast te leggen zijn en wordt het al heel snel een ingewikkeld traject. Dat doe je waarschijnlijk alleen maar voor grote structurele samenwerkingsvormen waar veel data met een gevoelig karakter heen en weer gaat. Voorbij dat soort oplossingen, wordt het alleen maar ingewikkelder en krijg je snel te maken met landen met hele ingewikkelde of totaal onleesbare juridische structuren waarvan je de hardheid niet kunt beoordelen.

Marlon Domingus: Ik wil even noemen dat Privacy Enhancing Technology hier erg belangrijk zijn. Als je het voor elkaar krijgt om dataminimalisatie toe te passen, zodat je alleen de data doorgeeft die echt nodig zijn, werkt dat überhaupt en kun je het risico al wat verkleinen. Stel dat je in staat bent om gebruik te maken van technologie waarbij de data zowel in transit, rest als gebruik versleuteld is - en jij de enige bent die toegang heeft tot die sleutels - kun je een case maken dat het risico hiermee behoorlijk gemitigeerd wordt. Als de leverancier ook niet bij de sleutel kan en daarom niet bij de onversleutelde data, los je met technologie een belangrijk juridisch vraagstuk op. Er leveranciers die oplossingen aanbieden.

Marlon Domingus: Het is niet alleen een juridisch feest, het zijn ook de ontwikkelingen in de technologie en dan met name die Privacy Enhancing Technologies. Daar zie je mogelijkheden om hier op een goede manier mee om te gaan en dat dient het doel. We hebben met elkaar nu wat meer middelen en platforms, waarmee we op deze manier veilig data kunnen delen met derde landen. Ik denk dat het een verdienste is van de AVG, dat we oplossingen vinden om die data veilig bij een andere partij te krijgen met wie we iets willen ontwikkelen of doen, maar waarbij de privacyrisico's beperkt zijn voor de betrokkenen.

Interviewer: Ik vind het een mooie afronding om een ingewikkeld juridisch werkveld wellicht ook technologisch te kunnen oplossen. Marlon, ik wil je danken voor je uitgebreide toelichting op dit complexe onderwerp. Beluister ook de andere afleveringen in deze podcastserie. Daarin besteden we aandacht aan onderwerpen als: wat is een definitie van persoonsgegevens? Wat is een verwerkingsverantwoordelijke? Wat is een verwerkingsregister? Hoe ga je om met datalekken? En nog veel meer. Deze serie is geproduceerd door het CIB Centrum Informatiebeveiliging en Privacybescherming en werd mede mogelijk gemaakt door CIO-Rijk.

Interviewer: Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer daarover kun je vinden op onze website www.CIP-overheid.nl. Tot de volgende keer!