Geef jij persoonsgegevens door naar de VS? Let op: het Privacy Shield is ongeldig!

Op 16 juli 2020 heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard. Dit heeft aanzienlijke gevolgen als jouw organisatie persoonsgegevens door geeft aan de Verenigde Staten, bijvoorbeeld naar Google of Microsoft. Wat het ongeldig verklaren van het Privacy Shield voor jouw organisatie betekent, leggen wij uit in deze blog.

Wat is het Privacy Shield en waarom werd het ongeldig verklaard?

Het Privacy Shield is een overeenkomst tussen de Verenigde Staten en de Europese Unie. Het Privacy Shield was gecreëerd om de privacy van Europese burgers te beschermen wanneer hun persoonsgegevens met Amerikaanse bedrijven werden gedeeld. Amerikaanse bedrijven die zich hebben aangesloten bij het Privacy Shield tonen aan zij dat de rechten en vrijheden van Europese burgers waarborgen. Hierdoor was het doorgeven van gegevens van Europese burgers naar bedrijven gevestigd in de Verenigde Staten toegestaan. Het Europese Hof van Justitie heeft nu geoordeeld dat er geen adequate bescherming aanwezig is, omdat Amerikaanse overheidsinstanties vrijwel onbeperkte toegang hebben tot persoonsgegevens die door Amerikaanse bedrijven worden verwerkt. Om deze reden heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard.

De rechtszaak is een tijd geleden aangespannen door privacyactivist Max Schrems. Hij voerde een zaak tegen Facebook Ierland dat gegevens deelde met Facebook California Inc. Dit heeft te maken met de regelgeving over surveillance die nog geldt in de Verenigde Staten. Deze Amerikaanse wetgeving geeft geen beperking tot strikt noodzakelijke gegevens, zoals is vereist onder de AVG. Ook is er onvoldoende transparantie in wat er met de persoonsgegevens wordt gedaan. Hierdoor kan er ook geen controle plaatsvinden op de juistheid van de verwerkingen van persoonsgegevens én kan een burger niet optreden tegen een inbreuk op haar of zijn privacyrechten.

Wat zijn de gevolgen van het ongeldig verklaren?

De uitspraak heeft enorme gevolgen, en waarschijnlijk ook voor jouw organisatie. Er wordt meestal naar het Privacy Shield verwezen in de verwerkersovereenkomsten wanneer er gebruik gemaakt wordt van Amerikaanse leveranciers van diensten of software. Dit is natuurlijk van toepassing op veel clouddiensten, aangezien zij doorgaans in de VS zijn gevestigd. Toen het Privacy Shield nog geldig was, was het doorsturen van gegevens naar de Verenigde Staten nog rechtmatig (indien een organisatie hierbij was aangesloten), maar dit is nu niet meer het geval.

De Standaard Contractsbepalingen (SCC) zijn nog wel geldig. Momenteel kunnen deze dus nog worden ingezet wanneer er data naar een land wordt doorgestuurd buiten de Europese Unie. Daarbij moet echter wel worden afgevraagd of dit wél de juiste bescherming biedt. Het land moet namelijk kunnen garanderen dat ze de privacy kunnen waarborgen, en dat is juist bij de Verenigde Staten nu niet het geval. De enige andere mogelijkheden zouden de Binding Corporate Rules (BCR) zijn. Deze zijn echter alleen geschikt voor grote internationale bedrijven en momenteel is er een doorlooptijd van ongeveer 5 jaar (!) voor het goedkeuren door de Autoriteit Persoonsgegevens van de BCRs.

En hoe nu verder?

De Verenigde Staten dienen eerst veranderingen aan te brengen in de surveillance wetgeving zodat er een juiste bescherming van persoonsgegevens van toepassing is. Hierdoor is ook de SCC op dit moment geen betrouwbare oplossing aangezien de Verenigde Staten géén juiste bescherming van persoonsgegevens kunnen bieden. Als jouw organisatie wel gebruik maakt van SCCs, dan blijven deze wel geldig, maar je zal deze contracten nu zelf beoordelen en daarbij ook moeten bekijken of de ontvangende partij zich wel aan de regels kan houden. Dit zal in de praktijk wel een behoorlijke uitdaging zijn.

Op dit moment moeten organisaties acuut stoppen met de doorgifte van persoonsgegevens naar de Verenigde Staten als het gewenste beschermingsniveau niet kan worden bereikt, hoe onrealistisch en niet praktisch deze uitkomst ook is. Tot de tijd dat er wel een werkbare en praktische oplossing is voor deze situatie, staan organisaties dus nog voor flinke uitdagingen. Alle ogen zijn nu gericht op de Europese wetgever en de toezichthouders om met een oplossing te komen. Wij raden aan om zoveel mogelijk gebruik te maken van diensten die gevestigd zijn in de Europese Unie, zodat de persoonsgegevens vallen onder bescherming van de AVG.

NOYB – de organisatie van Max Schrems – heeft inmiddels wel al hulpmiddelen (in het Engels) gepubliceerd die organisaties bij deze (tijdelijke) uitdagingen kunnen gebruiken. Je kunt deze hulpmiddelen raadplegen via deze link.

Heb je vragen over dit artikel?

Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75.