Privacycolumn - De vinkentering
Door Rachel Marbus 17 feb 2023
Het is nou niet bepaald een sexy onderwerp, maar het heeft de gemoederen eind vorig jaar flink beziggehouden en het zal ook dit jaar nog zeker op menig privacy- agenda staan. Het uitwisselen van persoonsgegevens over de landsgrenzen heen en dan met name naar landen waar geen adequate bescherming bestaat. Een onderwerp dat organisaties flinke hoofdpijn kan bezorgen. Daarbij wordt inmiddels gewerkt met Transfer Impact Assessments (TIA) om het risico van het uitwisselen naar een bepaald land te bepalen. En hoewel zo’n TIA heel waardevol is, is het ook beperkt. Want dat het uitwisselen van gegevens met een bepaald land misschien minder risicovol is, betekent niet dat het uitwisselen met een bepaalde organisatie in dat land dan ook ineens minder risicovol zou zijn.
Even kort ter herinnering. In 2020 deed het Europese Hof van Justitie uitspraak in de tweede Schrems zaak, in die uitspraak vernietigde zij de toen bestaande afspraken voor het uitwisselen van persoonsgegevens met de USA. De vervanging: iedereen moest Standard Contractual Clauses (SCC) gaan afsluiten. In die contracten staan door de Europese Commissie vastgestelde regels op basis waarvan persoonsgegevens uitgewisseld mogen worden.
Maar stel nu dat je zaken wilt doen met een organisatie in de Verenigde Staten en je hebt die SCC’s afgesloten, zou je dat dan ook altijd moeten doen? Juridisch gezien kan jou niet veel gemaakt worden als je dat mooie contract getekend en gedateerd hebt liggen. Maar stel nu dat dit bedrijf onderdeel uitmaakt van de Meta organisatie die in januari een boete heeft gekregen van 390 miljoen euro voor het tegen de regels in verwerken van gegevens voor gericht persoonlijk adverteren. Of je wilt zakendoen met Apple dat in dezelfde maand 8 miljoen euro boete kreeg opgelegd vanwege eenzelfde privacyvergrijp. Of met Epic Games, die nog net in december, schikte met de FTC voor 520 miljoen dollar, omdat ze zonder toestemming gegevens van kinderen verwerkt en daarbovenop ook nog eens spelers misleidt tot het doen van onbedoelde aankopen. De voorbeelden zijn legio – alleen al de afgelopen maanden.
Al is je TIA dus nog zo strak en komt eruit dat je weinig risico loopt, het schetst mogelijk een vertekend beeld bij iedereen in jouw organisatie die geen privacyspecialist is. Het zegt – op dit moment – echt alleen maar iets in zijn algemeenheid over het land waarmee de gegevens uitgewisseld worden. Het zegt helemaal niets over de partij waarmee je dat beoogt te doen. En hoewel iedereen weet dat je bij een aanstaande zakenpartner naar het geheel hoort te kijken, zou het bestaan van de TIA het in dit opzicht nog wel eens negatief kunnen beïnvloeden. En hoewel ik merk dat er in de praktijk ook steeds meer ruimte is voor ethische overwegingen bij de due dilligence voor het zakendoen met derden, zie ik ook dat als het vinkje maar groen kleurt (we hebben SCC’s, we hebben een TIA met lage score op risico) het contract snel getekend is. En dan heb je met een beetje pech een geval van de ‘vinkentering’ te pakken: alles staat op groen, maar de patiënt is overleden.
Mr. Rachel Marbus
@RACHELMARBUS OP TWITTER
Deze column verscheen in iB1-2023.