Na de TikTok-boete: hoe bescherm je je data bij doorgifte naar China (maar ook de VS)?

Met de recente boete voor TikTok door de Ierse Data Protection Commission vanwege het schenden van de Algemene Verordening Gegevensbescherming (AVG), komt de vraag rondom het delen van persoonsgegevens met derde landen opnieuw scherp in beeld. Voor de Nederlandse advertentie-industrie, waarin datagedreven marketing centraal staat, zijn deze ontwikkelingen van groot belang. Hoe kan de branche hier mee omgaan en welke risico’s moet het in overweging nemen met een focus op China en de VS?

Hoge boete voor TikTok – wat ging er fout?

De Ierse Data Protection Commission heeft recent TikTok beboet voor het niet naleven van de AVG bij de verwerking van persoonsgegevens van Europese gebruikers. TikTok werd bestraft voor het onvoldoende beschermen van persoonsgegevens en het niet transparant zijn over hoe data werd gedeeld met moederbedrijf ByteDance in China. Deze zaak toont aan dat de risico’s reëel zijn en dat Europese toezichthouders steeds strenger optreden tegen dergelijke overtredingen. Dit heeft directe gevolgen voor Nederlandse advertentiebranche waar volop gebruik wordt gemaakt van internationale platforms met wereldwijde datastromen.

Juridische kaders rondom doorgifte volgens de AVG

De AVG stelt strikte eisen aan de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte. Zonder een passend beschermingsniveau of aanvullende waarborgen is een dergelijke doorgifte niet toegestaan. De belangrijkste mechanismen voor internationale doorgifte zijn:

• Adequacy decisions – De voorkeursoptie voor internationale doorgifte is een adequacy decision van de Europese Commissie. Dit houdt in dat een derde land een passend beschermingsniveau biedt, vergelijkbaar met dat van de EU. In deze gevallen is er geen noodzaak voor aanvullende contractuele of technische waarborgen. Een recent voorbeeld hiervan is het EU-VS Data Privacy Framework, dat in 2023 is ingevoerd als vervanging van het eerder ongeldig verklaarde Privacy Shield. Dit nieuwe framework biedt een juridische basis voor dataoverdracht naar de VS, maar staat nu al onder druk door lopende rechtszaken van privacyactivisten. Deze juridische onzekerheid maakt dit een risicovolle optie voor bedrijven die vertrouwen op dit mechanisme.
  
  
• Standard Contractual Clauses (SCC's) en Data Transfer Impact Assessments (DTIA's) – Als er geen adequacy decision beschikbaar is, moeten bedrijven vaak gebruikmaken van SCC's om persoonsgegevens naar derde landen over te dragen. Deze contracten verplichten bedrijven om een vergelijkbaar beschermingsniveau te bieden als binnen de EU. Bedrijven moeten daarnaast altijd een DTIA uitvoeren, een risicoanalyse die beoordeelt of persoonsgegevens in het derde land voldoende worden beschermd en welke aanvullende maatregelen nodig zijn. Dit komt omdat zelfs met SCC's er een risico blijft bestaan dat gegevens in het ontvangende land worden blootgesteld aan overheidsinmenging of andere vormen van toezicht die niet stroken met de Europese privacynormen. 

Het fundamentele probleem hierbij is echter dat een contract tussen twee private partijen geen enkele garantie biedt tegen toegang door overheden. Een overheid is immers niet gebonden aan private contracten en kan met nationale wetgeving alsnog inzage afdwingen.

Uitdagingen in China en de VS

De doorgifte van gegevens naar China en de VS kent specifieke risico’s:

• China:
  
  
• Wetgeving die bedrijven verplicht om gegevens aan de overheid te verstrekken wanneer daarom wordt gevraagd.
• Beperkte transparantie over hoe data door bedrijven en overheden wordt gebruikt, wat het moeilijk maakt om de daadwerkelijke risico's goed in te schatten.
• Voor China is er geen adequacy decision. Dit betekent dat vaak alleen op basis van SCC’s persoonsgegevens gedeeld mogen worden met organisaties in China.
  
  
• Verenigde Staten:
  
  
• Sterke inlichtingenwetgeving zoals de Cloud Act en FISA 702, die bedrijven kan verplichten data te delen met de overheid.
• Ondanks het nieuwe EU-US Data Privacy Framework (adequacy decision) blijven er zorgen over effectieve privacybescherming. Hoewel dit kader een nieuwe juridische basis biedt voor dataoverdracht naar de VS, is het nu al onderwerp van juridische uitdagingen. Privacyactivisten, zoals de groep rond Max Schrems, hebben al aangegeven dat zij de nieuwe regeling opnieuw voor de rechter dagen. Dit kan betekenen dat bedrijven die vertrouwen op dit kader mogelijk opnieuw moeten schakelen als de regeling uiteindelijk wordt vernietigd door het Europese Hof van Justitie, net zoals eerder gebeurde met het Privacy Shield.

Hoe de branche de risico's kan beheersen

Om de risico's van internationale gegevensdoorgifte te beheersen, kunnen bedrijven:

• SCC's correct inrichten en DTIA uitvoeren: gebruik de nieuwste SCC’s en zorg voor strikte naleving. Voer daarnaast een grondige DTIA uit om de risico's van buitenlandse toegang tot gegevens te minimaliseren. Houd er echter rekening mee dat zelfs met de juiste contracten en analyses het fundamentele probleem van overheidsinzage blijft bestaan, omdat nationale wetten private afspraken kunnen overschrijven.
  
  
• Gebruikmaken van Privacy-Enhancing Technologies (PETs): zoals pseudonimisering en data minimalisatie om de impact van mogelijke datalekken en inzageverzoeken van overheden daadwerkelijk te beperken.
  
  
• Alternatieven overwegen: lokale gegevensopslag of versleutelde transmissie om het risico te verkleinen.

Conclusie

Hoewel bedrijven met de juiste juridische mechanismen zoals adequacy decisions, SCC's en DTIA's hun internationale gegevensdoorgifte kunnen reguleren, blijven er fundamentele risico's bestaan. Zelfs met deze maatregelen kunnen nationale overheden in derde landen vaak nog steeds toegang krijgen tot persoonsgegevens, waardoor volledige privacybescherming moeilijk te garanderen is. Dit fundamentele probleem kan alleen worden beperkt door gegevens zo ver mogelijk te pseudonimiseren of te versleutelen, zodat zelfs bij overheidsinmenging de informatie niet naar individuen kan worden herleid. De veiligste optie blijft echter om persoonsgegevens binnen de Europese Economische Ruimte te houden, waar de AVG strikte bescherming biedt.

Opzoek naar meer informatie over dit onderwerp? Stuur dan een mail naar [email protected]