Het Europese Hof heeft het Privacy Shield ongeldig verklaard. Het doorgeven en opslaan van persoonsgegevens in de Verenigde Staten is niet langer mogelijk onder dit verdrag. De uitspraak in de zaak Schrems II zet de internationale doorgifte van persoonsgegevens op losse schroeven. Wat zijn de consequenties voor u?

Een aantal weken geleden besteedden we al uitgebreid aandacht aan de zaak Schrems II.

Waar draait deze zaak om?

Volgens de AVG mogen persoonsgegevens niet zomaar worden doorgegeven aan personen of organisaties buiten de EU. Dit is alleen toegestaan als er ‘passende waarborgen’ worden geboden. Het Privacy Shield bood deze waarborgen, in de vorm van juridisch bindende afspraken tussen de EU en de VS.

Meneer Schrems (lees ook onze eerdere blog) vindt echter dat er geen passende waarborgen zijn. In ieder geval niet voor de doorgifte van persoonsgegevens door Facebook Ierland aan servers in Amerika.

Hij heeft nu gelijk gekregen. In ieder geval voor wat betreft het Privacy Shield.

Waarom eigenlijk?

Onvoldoende bescherming persoonsgegevens in Amerika

In de zaak Schrems II heeft het Europese Hof van Justitie op 16 juli uitspraak gedaan. Het Hof concludeert dat het Privacy Shield onvoldoende bescherming garandeert. Met name, omdat de Amerikaanse inlichtingen- en veiligheidsdiensten rechten hebben om gegevens van EU-burgers in te zien en te gebruiken.

Privacy Shield Schrems II

Dit betreft niet alleen de strikt noodzakelijke gegevens, zoals in de EU. De veiligheidsdiensten hebben toegang tot alle gegevens en mogen deze naar eigen inzicht verwerken.

Ander issue: het ombudsman-mechanisme biedt onvoldoende bescherming aan EU-burgers met een klacht over de verwerking van hun persoonsgegevens in de VS. Betrokkenen hebben ook geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten. Het Privacy Shield kan dan ook niet zorgen voor een beschermingsniveau dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de EU wordt gewaarborgd.

Kortom, het Privacy Shield is vanaf nu niet langer geldig.

Hoe nu verder?

Europese Commissie aan zet

Ongeldig verklaard Privacy Shield

Nu het Privacy Shield ongeldig is verklaard, staat de Europese Commissie voor een zware taak. Er moet een nieuwe regeling komen voor de doorgifte van persoonsgegevens naar de VS.

Voor nu is het nog onduidelijk wat de gevolgen in de praktijk zijn. De Autoriteit Persoonsgegevens (AP) bekijkt binnen de European Data Protection Board (EDPB) wat de praktische gevolgen zijn van de uitspraak.

Wat zijn dan geschikte alternatieven voor het moment?

U doet er in ieder geval goed aan om nu al stappen te ondernemen als u inderdaad afhankelijk bent van het Privacy Shield voor de uitwisseling van persoonsgegevens met de Verenigde Staten. Anders bent u straks wellicht verplicht de data-uitwisseling met de VS stop te zetten.

Het Hof wijst namelijk op de verplichting van de gegevensexporteur in de EU om voorafgaand aan de doorgifte van persoonsgegevens te beoordelen of het beschermingsniveau in het derde land voldoende wordt geborgd. Is dit niet het geval, dan moet de doorgifte gestaakt worden en/of de overeenkomst met gegevensimporteur worden beëindigd.

Mogelijkheden voor overdracht van gegevens met de VS

Welke instrumenten blijven nog over voor gegevensoverdracht nu het Privacy Shield ongeldig is verklaard?

  • Binding Corporate Rules (BCR) voor interne gegevensuitwisseling binnen een internationale organisatie of multinational.

  • een modelovereenkomst van de Europese Commissie (Standard Contractual Clauses).

  • een overeenkomst die is goedgekeurd door de toezichthouder.

Ook de Standard Contractual Clauses stonden ter discussie in de zaak Schrems II. Het Hof heeft bepaald dat deze nog wel geldig zijn, mits wordt voldaan aan de eisen zoals gesteld in de Europese privacywetgeving. Voor het gebruik van de Standard Contractual Clauses zult u in ieder geval moeten kunnen aantonen dat u heeft geverifieerd of het beschermingsniveau in het land van ontvangst gewaarborgd wordt.

Of de Standard Contractual Clauses gebruikt kunnen blijven worden voor doorgifte van persoonsgegevens naar de VS, is nog maar de vraag. Deze modelovereenkomst bestaat namelijk uit standaardclausules die zijn opgesteld door de Europese Commissie. Dezelfde clausules die ook de basis vormen van het Privacy Shield…

Tijd voor actie!

Inmiddels heeft de European Data Protection Board in duidelijke taal gereageerd op de uitspraak in de zaak Schrems II. Het Privacy Shield is volledig van de baan én er komt geen overgangsperiode. Wie persoonsgegevens wil blijven doorgeven aan de VS moet passende waarborgen treffen of toestemming vragen aan de Autoriteit Persoonsgegevens. In onze volgende blog geven we u een overzicht van de gevolgen en een concreet actieplan.

Blijf op de hoogte!

We blijven de ontwikkelingen rondom het Privacy Shield en de doorgifte van persoonsgegevens naar Amerika op de voet volgen. Zeker weten dat u niks mist? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.