Massaal maken we gebruik van Amerikaanse clouddiensten en werken we samen met organisaties in de VS. Dankzij onder meer het Privacy Shield kunnen we probleemloos persoonsgegevens opslaan in en uitwisselen met Amerika. Voor nu. De uitspraak in de zaak Schrems II kan dit alles op losse schroeven zetten. Een toelichting op de doorgifte van persoonsgegevens buiten de EU en een kijkje in de zaak Schrems II.

Persoonsgegevens uitwisselen buiten de EU

Persoonsgegevens uitwisselen AVG

Persoonsgegevens mogen niet zomaar uitgewisseld worden met partijen buiten de EU. De AVG verbiedt overdracht van persoonsgegevens uit de Europese Economische Ruimte (EER) naar landen die geen ‘adequaat niveau van gegevensbescherming’ waarborgen.

Doorgifte naar zo’n land kan op grond van de AVG slechts plaatsvinden als de verwerkingsverantwoordelijke en/of verwerker passende waarborgen biedt. Daarnaast moeten de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

Passende waarborgen worden geboden door middel van de volgende instrumenten:

  • juridisch bindende afspraken tussen overheidsorganen, ook wel adequaatheidsbesluiten genoemd. Voor de Verenigde Staten geldt het Privacy Shield.

  • Binding Corporate Rules (BCR) voor interne gegevensuitwisseling binnen een internationale organisatie of multinational.

  • een modelovereenkomst van de Europese Commissie (Standard Contractual Clauses).

  • een overeenkomst die is goedgekeurd door de toezichthouder.

Doorgifte van persoonsgegevens naar de VS

Door de positie van grote Amerikaanse partijen als Google, Microsoft en Apple krijgen vele organisaties in Nederland te maken met de doorgifte van persoonsgegevens buiten de EU. Hoe zorgt u dat persoonsgegevens veilig in de cloud van een Amerikaanse provider worden opgeslagen?

Privacy Shield

Daarvoor heeft de Europese Commissie een overeenkomst - genaamd Privacy Shield - gesloten met de VS. Hierin staan eisen die Europa stelt aan ondernemingen die vanuit de EU doorgegeven persoonsgegevens verwerken in de VS.

Let op!

Dit betekent niet automatisch dat alle Amerikaanse ondernemingen onder het Privacy Shield vallen. Alleen bedrijven die zich hierbij hebben aangesloten, voldoen aan de door Europa gestelde eisen. De Amerikaanse overheid controleert regelmatig of een organisatie de eisen nog naleeft.

Een lijst met aangesloten bedrijven vindt u hier.

Mocht een organisatie niet zijn aangesloten bij het Privacy Shield, dan heeft u nog altijd de mogelijkheid om een zogenoemde modelovereenkomst te sluiten. De modelovereenkomst bestaat uit standaardclausules die zijn opgesteld door de Europese Commissie.

Dit zijn contracten die tussen twee partijen worden gesloten en waarbij de verwerkende partij zich committeert aan de Europese privacyregels.

Schrems II: blijft gegevensoverdracht met de VS mogelijk?

Op dit moment is het wachten op een uitspraak van het Europese Hof van Justitie in de zaak Schrems II. De Oostenrijker Schrems heeft een rechtszaak aangespannen, waarin de standaard modelovereenkomst ter discussie wordt gesteld.

De vraag die aan het Europees Hof werd gesteld is of de Standard Contractual Clauses wel genoeg waarborgen bieden om de rechten en vrijheden van betrokkenen te beschermen. Schrems II gaat dan ook voornamelijk over de standaard modelovereenkomst, maar de beantwoording van de vragen heeft wel impact op de wijze waarop naar het Privacy Shield wordt gekeken.

De reden dat het proces Schrems II heet?

Schrems II

In het verleden heeft deze meneer Schrems reeds een rechtszaak aangespannen vanwege het doorgeven van zijn persoonsgegevens door Facebook aan servers in de VS en is uiteindelijk de Safe Harbour (de voorganger van het Privacy Shield) door het Europese Hof van Justitie ongeldig verklaard.

De huidige zaak heeft Schrems ook weer aangespannen tegen Facebook. Hij vindt dat er geen passende waarborgen zijn voor de doorgifte van persoonsgegevens door Facebook Ierland aan servers in Amerika.

Het is maar zeer de vraag of Schrems de zaak dit keer gaat winnen. De advocaat-generaal van het Europees Hof heeft zich inmiddels uitgesproken over de zaak. Hij vindt dat Facebook data van Europese gebruikers mag delen met de VS en dat de modelovereenkomsten voldoende waarborgen bieden om de rechten en vrijheden van betrokkenen te beschermen.

Nu is het nog wachten op een uitspraak van het Hof van Justitie van de Europese Unie. Deze zomer staat de beoordeling op de agenda. Over het algemeen volgen de rechters het advies van de advocaat-generaal.

Of dat nu ook gebeurt? We houden u op de hoogte!

Volg de ontwikkelingen

Wilt u op de hoogte blijven van deze en andere ontwikkelingen in de rechtspraak? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.