Doorgifte persoonsgegevens naar de VS

Raad van State 19 augustus 2021, IEFbe 3267; A. 234.221/XII-9119 (Qarin tegen het Vlaamse Gewest) Het Vlaamse Gewest heeft tussenkomende partij ViaVan een opdracht gegeven. ViaVan is een dochteronderneming van een Amerikaanse entiteit. In het kader van deze opdracht zullen op grootschalige wijze persoonsgegevens worden verwerkt, waaronder speciale categorieën. Dit zijn bijvoorbeeld gezondheidsgegevens of persoonsgegevens van minderjarigen. De verzoekende partijen, waaronder Qarin, stellen als belangrijkste middel dat er geen geldige doorgiftegrond bestaat voor persoonsgegevens naar de Verenigde Staten. Dit volgt uit het Schrems II arrest van het Hof van Justitite. Deze stelling lijkt in zijn algemeenheid voorbij te gaan aan andere wijzen waarop gegevensbescherming gegarandeerd kan worden, ook in de VS. De vordering tot schorsing bij uiterst dringende noodzakelijkheid dient dan ook te worden verworpen. 

16. De stelling van de verzoekende partijen dat geen enkele aanvullende maatregel denkbaar is die kan toelaten het ontoereikende niveau van gegevensbescherming in de VS te verhelpen, ook niet met versleuteling of pseudonimisering, lijkt in zijn algemeenheid voorbij te gaan aan de wijze waarop die maatregelen kunnen worden geimplementeerd. Uit het dossier lijkt te mogen worden afgeleid dat noch het VTC, noch het Europees Comité voor gegevensbescherming zich als dusdanig verzetten tegen volledige encryptie van data voordat ze bij de dienstverlener worden geplaatst en waarbij de encryptiesleutels volledig in eigen controle worden gehouden door de Vlaamse beroepsinstantie. Uit het dossier blijkt dat de gekozen inschrijver een uitgebreide set aan waarborgen voorziet.

17. De verzoekende partijen maken aldus niet met de vereiste ernst aannemelijk dat van zodra sprake is van doorgifte van persoonsgegevens naar een entiteit in de VS, de AVG wordt geschonden omdat geen geldig doorgifte-mechanisme voorhanden zou zijn en de verwerker in ieder geval geen dienstige waarborgen kan aanreiken die kunnen remediëren aan een ontoereikend niveau van gegevensbescherming in het land van bestemming.