1. Laten we beginnen bij het begin: wat is het probleem?
“Het probleem zit ’m vooral in die tweede Schrems-uitspraak die het Hof in 2020 heeft uitgesproken (zie ook kader). Als een organisatie nu persoonsgegevens wil doorgeven aan een land buiten de EER (Europese Economische Ruimte), moet die organisatie eerst een zestal stappen doorlopen. Belangrijk is namelijk dat het zogenoemde derde land (vaak Amerika of lage loonlanden) hetzelfde beschermingsniveau moet bieden als de EU. Vooral voor verzekeraars, die over veel gevoelige persoonsgegevens beschikken, is dat een lastige opgave. Simpel vertaald wil die rechter van het Hof van Justitie dat het beter wordt geregeld dan voorheen. Dat betekent dat er bijvoorbeeld analyses van landen nodig zijn om het beschermingsniveau te bepalen. Die analyses zijn nog niet allemaal uitgevoerd. Buiten dat het veel tijd en geld kost, is het voor verzekeraars sowieso lastig om aan de eisen te voldoen. Er is geen blauwdruk en dat maakt mensen vaak zenuwachtig.”
Wie is Schrems?
Maximilian Schrems (1987) is een Oostenrijkse advocaat en privacy-activist. Hij is bekend geworden door zijn klacht bij het Europees Hof van Justitie. In de Schrems-I uitspraak maakte het hof een einde aan de Safe Harbor Privacy Principles die als basis konden dienen voor een rechtmatige uitwisseling van persoonsgegevens tussen Europa en de VS.
Na een nieuwe klacht van Schrems, ditmaal tegen Facebook, volgde op 16 juli 2020 de tweede uitspraak, waardoor ook de ‘opvolger’ van de Safe Harbor Privacy Principles, het Privacy Shield ongeldig werd verklaard.
Het Europese Comité voor gegevensbescherming heeft richtsnoeren gemaakt die de Schrems-II uitspraak concretiseren, maar in de praktijk blijkt het voor organisaties lastig om er uitvoering aan te geven. Volgens HVG Law ‘omdat de regels niet zijn dichtgetimmerd’. “Iedere organisatie moet er een eigen vertaalslag aan geven.”
Intussen heeft Schrems de volgende klacht al ingediend, dit keer tegen Google Analytics.
2. Wat kunnen verzekeraars doen?
“Ook gewoon beginnen bij het begin. Breng in kaart met welke organisaties je samenwerkt en aan wie je gegevens doorgeeft. Waarschijnlijk staat er al het nodige op papier. Mijn tip is altijd: maak het niet te groot. In ieder geval niet groter dan het al is. Het is een groot onderwerp en lang niet alle richtlijnen, maatregelen e.d. zijn al bekend, maar toch moeten verzekeraars aan de bak. Ze moeten de richtsnoeren van het Europese Comité voor gegevensbescherming vertalen naar de eigen organisatie en niet te veel kijken naar anderen die wellicht voor andere oplossingen kiezen. Ik zeg het bijna dagelijks tegen verzekeraars die ons om raad vragen: er is geen honderd procent perfectie en er is ook geen gouden sleutel. Kies voor een aanpak die bij je organisatie past.”
Saskia Vermeer
3. Zijn verzekeraars te veel op zoek naar die honderd procent ‘dekking’?
“Dat is de aard van het beestje. Als er een risico is, willen verzekeraars het graag afdichten. Dat zit in hun DNA, maar in dit geval ligt het meer voor de hand om een risicogebaseerde aanpak te kiezen. Ze kunnen het niet dichttimmeren. Of ze moeten niet langer deelnemen aan het internationale (gegevens)verkeer, maar dat lijkt me geen optie. En natuurlijk ligt er een enorme uitdaging. Er zullen meer richtlijnen komen, maar er is nu geen tijd te verliezen. Verzekeraars moeten voor de muziek uitlopen en zoeken naar een passende oplossing.”
"Verzekeraars moeten zoeken naar een passende oplossing"
4. Waarom móeten verzekeraars deelnemen aan dat internationale verkeer?
“Omdat veel organisaties werken met de Microsofts en de Googles van deze wereld. En ja, die bedrijven hebben een Amerikaanse moeder. Ik krijg de vraag vaker van verzekeraars: kunnen wij nog wel met Amerikaanse partijen als Google en Microsoft werken? Mijn antwoord is dan dat het niet realistisch is om daar nu nee tegen te zeggen en voor bepaalde dienstverlening andere partijen te zoeken. Een verzekeraar kan niet zeggen dat hij geen zaken meer doet met de VS. Hij kan er simpelweg niet omheen. Je zou hooguit kunnen zeggen dat je wel gebruikmaakt van Microsoft, maar in bepaalde gevallen kiest voor andere dienstverleners.”
5. En nu? Wat zou jouw aanbeveling zijn?
“Ik zou verzekeraars aanraden om niet ieder voor zich het wiel uit te vinden. Daarnaast zou ik verzekeraars echt op het hart willen drukken om de problematiek vanuit een risicoperspectief te benaderen. Laat die honderd procent compliance los. Een toezichthouder kijkt ook niet per se of alle vinkjes wel zijn gezet. Het gaat erom of een verzekeraar de risico’s goed inschat en kan aantonen dat hij voldoende rekening heeft gehouden met de impact op de privacy van de betrokkenen. En tot slot is mijn devies om aan de slag te gaan. Linksom of rechtsom komt iedereen er mee in aanraking, dus stilzitten is nu echt geen optie.”
"Iedereen krijgt er mee te maken, dus stilzitten is geen optie"