Op 16 juli 2020 heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard. Dit heeft aanzienlijke gevolgen als jouw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten, bijvoorbeeld naar Google of Microsoft. Wat het ongeldig verklaren van het Privacy Shield voor jouw organisatie betekent, leggen wij uit in deze blog.

 

Wat is het Privacy Shield en waarom werd het ongeldig verklaard?

Het Privacy Shield is een overeenkomst tussen de Verenigde Staten en de Europese Unie. Het Privacy Shield was gecreëerd om de privacy van Europese burgers te beschermen wanneer hun persoonsgegevens met Amerikaanse bedrijven werden gedeeld. Amerikaanse bedrijven die zich hebben aangesloten bij het Privacy Shield tonen aan zij dat de rechten en vrijheden van Europese burgers waarborgen. Hierdoor was het doorgeven van gegevens van Europese burgers naar bedrijven gevestigd in de Verenigde Staten toegestaan. Het Europese Hof van Justitie heeft nu geoordeeld dat er geen adequate bescherming aanwezig is, omdat Amerikaanse overheidsinstanties vrijwel onbeperkte toegang hebben tot persoonsgegevens die door Amerikaanse bedrijven worden verwerkt. Om deze reden heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard.

De rechtszaak is een tijd geleden aangespannen door privacy activist Max Schrems. Hij voerde een zaak tegen Facebook Ierland dat gegevens deelde met Facebook California Inc. De zaak had betrekking tot de regelgeving over surveillance die nog geldt in de Verenigde Staten. Deze Amerikaanse wetgeving geeft geen beperking tot strikt noodzakelijke gegevens, zoals is vereist onder de AVG. Ook is er onvoldoende transparantie in wat er met de persoonsgegevens wordt gedaan. Hierdoor kan er ook geen controle plaatsvinden op de juistheid van de verwerkingen van persoonsgegevens én kan een burger niet optreden tegen een inbreuk op haar of zijn privacyrechten.

 

Wat zijn de gevolgen van het ongeldig verklaren?

De uitspraak heeft enorme gevolgen, en waarschijnlijk ook voor jouw organisatie. Er wordt meestal naar het Privacy Shield verwezen in de verwerkersovereenkomsten wanneer er gebruik gemaakt wordt van Amerikaanse leveranciers van diensten of software. Dit is natuurlijk van toepassing op veel clouddiensten, aangezien zij doorgaans in de VS zijn gevestigd. Toen het Privacy Shield nog geldig was, was het doorsturen van gegevens naar de Verenigde Staten nog rechtmatig (indien een organisatie hierbij was aangesloten), maar dit is nu niet meer het geval.

De Standaard Contractbepalingen (SCC) zijn nog wel geldig. Momenteel kunnen deze dus nog worden ingezet wanneer er data naar een land wordt doorgestuurd buiten de Europese Unie. Daarbij moet echter wel worden afgevraagd of dit wél de juiste bescherming biedt. Het land moet namelijk kunnen garanderen dat ze de privacy kunnen waarborgen, en dat is juist bij de Verenigde Staten nu niet het geval. De enige andere mogelijkheden zouden de Binding Corporate Rules (BCR) zijn. Deze zijn echter alleen geschikt voor grote internationale bedrijven en momenteel is er een doorlooptijd van ongeveer 5 jaar (!) voor het goedkeuren door de Autoriteit Persoonsgegevens van de BCRs.

 

En hoe nu verder?

De Verenigde Staten dienen eerst veranderingen aan te brengen in de surveillance wetgeving zodat er een juiste bescherming van persoonsgegevens van toepassing is. Hierdoor is ook de SCC op dit moment geen betrouwbare oplossing aangezien de Verenigde Staten géén juiste bescherming van persoonsgegevens kunnen bieden. Als jouw organisatie wel gebruik maakt van SCCs, dan blijven deze wel geldig, maar het is wel van belang dat er regelmatig gecheckt wordt of de wetgeving van het derde land voldoet aan de privacywetgeving in de EU. In derde landen worden persoonsgegevens mogelijk minder goed beschermd dan in de EU. Deze ‘check’ zal in de praktijk wel een behoorlijke uitdaging zijn.

Tot de tijd dat er een werkbare en praktische oplossing is voor deze situatie, staan organisaties nog voor flinke uitdagingen. Omdat er nog geen praktische oplossingen zijn, raden wij voor nu aan om in ieder geval de volgende stappen te ondernemen:

• Ga na bij je verwerkers of zijzelf of hun sub-verwerkers persoonsgegevens doorgeven naar de VS op basis van het Privacy Shield.
• Controleer in het verwerkingsregister bij welke verwerkingen er (mogelijk) persoonsgegevens worden doorgegeven naar de VS. Ook is het verstandig om na te gaan waar de risico’s precies zitten en daarbij te checken of de gegevens op basis van het Privacy Shield worden doorgegeven of via de SCCs.
• Zorg er in ieder geval voor dat er op dit moment geen nieuwe verwerkersovereenkomsten worden afgesloten waarbij er persoonsgegevens met de VS worden gedeeld op basis van het Privacy Shield. Probeer de data altijd binnen de EU te houden om de bescherming van persoonsgegevens te kunnen waarborgen.

 

Update 10/11/2020:

De European Data Protection Board (hierna: EDPB) heeft op 10 november 2020 voorlopige aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. De EDPB hoopt bedrijven hiermee meer duidelijkheid te bieden. De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven dienen per geval te beoordelen welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.

De aanbevelingen die zijn opgesteld door de EDPB kunnen via de links hieronder geraadpleegd worden:

• Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
• Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.

 

Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75