16 juli 2020 is een datum die we niet snel zullen gaan vergeten. Vandaag is het Privacy Shield ongeldig verklaard door het Hof van Justitie van de Europese Unie. Dit gebeurde in de zogenoemde Schrems II zaak. Wat nu?
In de AVG staan regels voor doorgifte van persoonsgegevens naar landen buiten de EER. Geef je als organisatie persoonsgegevens door aan een partij die gevestigd is in een derde land, dan is dat alleen toegestaan in onderstaande gevallen:
De Oostenrijkse Maximillian Schrems heeft ongeveer 5 jaar geleden ervoor gezorgd dat Safe Harbor (de voorganger van het Privacy Shield) ongeldig is verklaard. Na deze uitspraak bleef Schrems van mening dat er geen passende bescherming is voor doorgifte van persoonsgegevens aan de Verenigde Staten. Ook het Privacy Shield bood volgens hem onvoldoende bescherming tegen het datagraaien van de Amerikaanse inlichtingendiensten. In de Schrems II zaak pleitte Schrems dat er geen persoonsgegevens vanuit Facebook Ierland mochten worden doorgegeven aan het machtige Facebook van Mark Zuckenberg, gevestigd in de Verenigde Staten, omdat zijn privacy daar niet gewaarborgd kan worden.
Het Europese Hof heeft een oordeel geveld over doorgifte van persoonsgegevens op basis van het Privacy Shield en de standaardbepalingen van de Europese Commissie.
Privacy Shield
Amerikaanse overheidsinstanties kunnen toegang verkrijgen tot persoonsgegevens die vanuit Europa naar de Verenigde Staten worden doorgestuurd. En hierdoor, zo vindt het Hof, biedt het Privacy Shield onvoldoende bescherming. Bescherming van privacy waar personen op basis van de AVG wel degelijk recht op hebben. Daarnaast worden aan personen geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten toegekend. De (veel te laat) aangestelde ombudsman biedt hier ook niet voldoende waarborgen. Het Hof concludeert dan ook dat het Privacy Shield ongeldig is.
Standaardbepalingen
Voor wat betreft de standaardbepalingen die door de Europese Commissie zijn opgesteld, heeft het Hof geoordeeld dat op basis van die bepalingen een passend beschermingsniveau kan worden gewaarborgd voor de doorgifte van persoonsgegevens. Dit is echter wel met de nodige kanttekeningen. Op basis van de standaardbepalingen is het zo dat doorgifte van gegevens kan worden opgeschort of verboden als blijkt dat die bepalingen worden geschonden of onmogelijk kunnen worden nageleefd. Bijvoorbeeld door datagraaiende Amerikaanse inlichtingendiensten. Dat is niets nieuws. Maar dat is wel de reden dat het Hof van mening is dat de standaardbepalingen nog steeds gebruikt kunnen worden om gegevens buiten de EER te brengen. Let wel, kúnnen worden.
Wat de gevolgen hier praktisch van zijn moet nog blijken. Jij zal als Europese partij aan moeten tonen dat er in een land buiten de EER geen risico’s zijn ten aanzien van bijvoorbeeld inlichtingendiensten die bij de data zouden willen.
Grote Amerikaanse partijen zijn vaak aangesloten bij het Privacy Shield. Denk aan de techbedrijven, social mediabedrijven maar ook cookieleveranciers. Nu het Privacy Shield ongeldig is verklaard, mogen persoonsgegevens vanuit Europa alleen aan Amerikaanse partijen worden doorgegeven indien op een andere manier een passend niveau van rechtsbescherming kan worden gewaarborgd. Of de standaard contractuele bepalingen hiervoor gebruikt kunnen worden is hoogst twijfelachtig. Geldt daarvoor immers niet dezelfde redenatie die ten grondslag ligt aan het einde van Privacy Shield?
Tot zover onze eerste gedachten over deze nieuwe ontwikkelingen. Wij houden je op de hoogte van alle ontwikkelingen op dit vlak!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.