TADA, TIA’s en risk based approach

Edit 03/05/2022 met link naar uitspraak DSB, typo’s en toevoeging van relevante onderdelen uit de uitspraak zelf.

Een paar interessante updates die twee dingen duidelijk maken:

1. De risk based approach blijft een twijfelachtige aanpak in TIA’s (Transfer Impact Assessments) aangezien de Oostenrijkse autoriteit die in de recentste beslissing specifiek afwijst.
2. TADA of Trans Atlantic Data transfer Agreement zal op z’n Amerikaans nog cheques uitschrijven die het niet kan innen. Nieuwe cijfers vanuit de FBI laten namelijk zien op welke schaal men blijft gebruik maken van sectie 702 in FISA wetgeving zonder zich te houden een toezichtsvereisten.

DSB wijst risk based approach af

In een zaak van NOYB heeft de DSB, de Oostenrijkse gegevensbeschermingsautoriteit, informatie gegeven aan NOYB over de uitkomst waaruit zou blijken dat de DSB de zogenaamde “risk based approach” bij het beoordelen van internationale transfers afwijst. Politico kreeg dit dan weer door van NOYB en publiceerde erover. Toegegeven, dat is niet hetzelfde als de beslissing van de DSB zelf zien maar de kans dat deze informatie een roddel is, is erg klein.

Ondertussen is de uitspraak zelf ook terug te vinden op de website van Noyb (vertaling in het Engels) en kunnen we rustig stellen dat het standpunt dat Politico beschreef een correcte weergave van de uitspraak is. Een paar interessante punten uit de uitspraak:

• De toegang door Amerikaanse diensten is niet geografisch beperkt (ref. 50 U.S. Code §1881a (“FISA 702”) en Cloud Act)
• Waar een risk based approach van toepassing is in de GDPR wordt dit expliciet genoemd. Dat is in hoofdstuk V niet het geval en komt ook niet voor in het Schrems II arrest.
• Google heeft niet aannemelijk gemaakt welke technische maatregelen (zoals encryptie in transit) de mogelijkheid tot toegang door inlichtingendiensten beperken.
• Anonimisering van het IP adres is niet effectief omdat er genoeg andere gegevens doorgegeven worden die kunnen leiden tot identificatie.
• De mate waarin een inlichtingendienst interesse zou kunnen hebben in gegevens is niet relevant, enkel de mogelijkheid tot toegang.

Concreet betekent die uitspraak dat de DSB een theoretische mogelijkheid om toegang te krijgen tot gegevens, bijvoorbeeld voor de Amerikaanse overheid, voldoende vindt om te concluderen dat een internationale doorgifte naar de VS niet compliant is. De enige optie is om garanties te voorzien dat de betrokken Amerikaanse partij, in dit geval Google Analytics, onmogelijk aan de persoonsgegevens kan. Dat zal dan over het algemeen door middel van encryptie of anonimisering gebeuren.

Het wordt interessant om te zien of andere autoriteiten dit beleid van “alles of niets” volgen. De recente acties binnen de EDPB om interne coherentie te bevorderen doen vermoeden dat de DSB niet alleen zal staan in hun interpretatie. Dat zal rauw op het dak vallen van privacy professionals die de laatste maanden gretig gebruik maakten van een template voor TIA’s geschoeid op Amerikaanse leest die vooral zocht naar onderbouwingen om te concluderen dat een transfer door mocht gaan omdat de kans op overheidstoegang klein is: de Rosenthal template.

Dat er ergens ruimte moet zijn om te komen tot realistische beperkingen van de mogelijkheden tot toegang is nog steeds voer voor discussie. Tenslotte heeft de terminologie “een adequaat niveau” al de nood tot een bepaalde afweging (wat is adequaat?) in zich. Wat wel duidelijk is, is dat een inschatting over “hoe interessant zijn deze gegevens voor inlichtingendiensten” of “hoe vaak heeft men al toegang gevraagd?” in die afweging niet relevant is.

TADA zal echt magie nodig hebben

We schreven al eerder over de aangekondigde overeenkomst voor internationale doorgiftes tussen de VS en Europa. Die wordt op dit moment uitgeschreven en zal vervolgens grondig nagekeken worden, niet in het minst door de EDPB die al liet doorschijnen toch een paar beren op de weg te zien.

Net voor de aankondiging van TADA een paar weken terug deed een recente uitspraak door het Supreme Court in de VS al enig stof opwaaien. De uitkomst van die zaak maakte duidelijk dat je als Europees burger je rechten kunt vergeten als je in het Amerikaanse inlichtingensleepnet zit. Deze week kwam er nog wat extra informatie vrij in de vorm van het Intelligence Community transparency report.

De Amerikaanse burgerrechtenorganisatie ACLU heeft het rapport bekeken en haalde er enkele interessante zaken uit:

(1) The FBI conducts warrantless "backdoor searches" for Americans' data in Section 702 databases on a massive scale: up to 3.39 million of these searches last year. Though the FBI's arithmetic is fuzzy, it's clear that the scale of the problem is enormous. pic.twitter.com/M0VjG3X2in

— Ashley Gorski (@ashgorski) April 29, 2022

1. DE FBI voert vele “backdoor searches” uit op data in de zogenoemde “section 702 databases”. Deze zoekacties vereisen geen tussenkomst van een rechter. Het gaat om 3,39 miljoen raadplegingen in 2021. Men maakt hier dus gretig gebruik van.
2. DE FBI houdt zich niet aan afspraken die al sinds 2018 gelden om voor bepaalde zoekacties wel degelijk een onderzoeksbevel te verkrijgen. Het hierbij overigens om zoekacties die Amerikanen betreffen, voor “foreign intelligence” is dit überhaupt niet nodig.
3. De surveillance onder sectie 702 blijft uitbreiden tot meer dan 230.000 doelwitten. Het gaat hier om niet-Amerikaanse burgers die een doelwit kunnen zijn zonder specifiek vermoeden van misdrijven en bijvoorbeeld ook journalisten, academici, rechters of activisten.
4. De FISA rechtbank (niet publiek) autoriseert de sectie 702 surveillance jaarlijks. In 2021 besloot de FISA rechtbank om dit uit te stellen en te verwijzen naar de goedkeuring van 2020.

Om maar te zeggen: TADA zal aardig wat feeënstof rond moeten strooien wil de EDPB positief advies geven over de overeenkomst voor internationale doorgiftes. Hun advies is niet bindend waardoor het niet ondenkbaar is dat zelfs een negatief advies alsnog leidt tot goedkeuring van de overeenkomst door de lidstaten en dan is het weer aan Max Schrems.