24 juli 2020 - Janneke Popma

Schrems II arrest: Privacy Shield ongeldig, wat betekent dit voor u?

Vorige week heeft het Hof van Justitie van de Europese Unie (HvJEU) een belangrijke uitspraak gedaan over het EU-VS Privacy Shield en de modelbepalingen voor doorgifte van persoonsgegevens naar de Verenigde Staten. We staan kort stil bij het arrest van het HvJ EU en bespreken we wat voor praktische gevolgen dit voor uw organisatie kan hebben.

Doorgifte buiten de EU Doorgifte van persoonsgegevens vanuit de EU naar een derde land is op grond van de Algemene verordening gegevensbescherming (AVG) alleen toegestaan als het door de AVG gewaarborgde beveiligingsniveau voor persoonsgegevens niet wordt ondermijnd. De AVG noemt een aantal mogelijkheden om dit te bewerkstelligen, waarvan er twee ter discussie stonden in de Schrems II-zaak:

  • doorgifte op basis van een adequaatheidsbesluit;
  • doorgifte op basis van modelcontractbepalingen die door de Europese Commissie zijn opgesteld.

Het Schrems II arrest

Privacy Shield

Het EU-VS Privacy Shield is een voorbeeld van een adequaatheidsbesluit. Onder het Privacy Shield, dat in 2016 werd goedgekeurd door de Europese Commissie, konden ondernemingen zichzelf certificeren en daarmee een ‘passend beschermingsniveau’ voor doorgifte van persoonsgegevens vanuit de Europese Unie aan de Verenigde Staten bieden.

Het HvJEU is echter van oordeel dat het Privacy Shield onvoldoende bescherming biedt omdat EU-burgers geen rechtsmiddel hebben als zij een klacht hebben over de verwerking van hun persoonsgegevens en omdat de toegang tot de data die die Amerikaanse overheidsinstanties hebben niet beperkt is tot het strikt noodzakelijke, terwijl dit op grond van de AVG wel vereist is. Het HvJEU heeft het Amerikaanse Privacy Shield om deze reden ongeldig verklaard. Dit betekent dat organisaties in de EU geen persoonsgegevens meer kunnen doorgeven aan de Verenigde Staten op grond van het Privacy Shield.

Dit is de tweede keer dat het HvJ EU een stokje steekt voor een basis voor doorgifte van persoonsgegevens naar de Verenigde Staten. In 2015 verklaarde het Hof de zogenaamde “Safe Harbour” beschikking al ongeldig. Het Privacy Shield was bedoeld als oplossing, maar volstaat dus ook niet.

Standaardbepalingen

Voor wat betreft de standaardbepalingen die door de Europese Commissie zijn opgesteld is  het Hof wel van oordeel dat op basis van die bepalingen een passend beschermingsniveau kan worden gewaarborgd voor de doorgifte van persoonsgegevens. Wel kan de doorgifte van persoonsgegevens worden opgeschort of verboden indien die bepalingen geschonden worden of onmogelijk nageleefd kunnen worden. De verzender van de persoonsgegevens dient per geval na te gaan of de rechten van betrokkenen onder de AVG zijn gewaarborgd.

Hoe nu verder?

De uitspraak van het Hof heeft tot gevolg dat organisaties die persoonsgegevens doorgeven aan organisaties in de Verenigde Staten op basis van het Privacy Shield, niet voldoen aan de AVG. Als uw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten, moet u dus actie ondernemen en moeten zoeken naar een alternatieve grondslag voor de doorgifte. Standaardbepalingen blijven volgens het Hof geldig en het ligt dan ook voor de hand om daar gebruik van te maken. Er kan echter alleen gebruik worden gemaakt van standaardbepalingen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd. Indien uw organisatie een beroep wil doen op de standaardbepalingen, zal u steeds moeten beoordelen of de rechten van betrokkenen onder de AVG zijn gewaarborgd. Oplettendheid is dan ook geboden.

Het European Data Protection Board (EDPB) komt op korte termijn met aanwijzingen over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.

Wilt u meer weten? Neem dan gerust contact met ons op.