Lisanne Meijerhof

advocaat

Lisanne is advocaat voor corporate litigation en stichtingen en verenigingen

lisanne.meijerhof@russell.nl
+31 20 301 55 55

Reinier Russell

managing partner

Reinier adviseert nationale en internationale bedrijven

reinier.russell@russell.nl
+31 20 301 55 55

EU-VS Privacy Shield ongeldig: wat nu?

Publicatiedatum 27 augustus 2020

Het EU-US Privacy Shield is ongeldig verklaard. Dit betekent dat bedrijven een andere juridische grondslag nodig hebben voor de overdracht van persoonsgegevens van EU-burgers naar de VS. Wij bevelen sterk aan om snel gebruik te gaan maken van andere waarborgmechanismen, zoals standaardcontractbepalingen of bindende bedrijfsbesluiten.

gdpr-privacy

Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig verklaard in zaak C-311/18 (genaamd: “Schrems II”). Het besluit heeft grote gevolgen voor bedrijven die hun gegevensoverdracht tussen de EU en de VS op het Privacy Shield hebben gebaseerd. Welke gevolgen zijn dit?

Een stap terug: wat is het EU-VS Privacy Shield?

Waarom is het Privacy Shield nodig?

Alle EU-lidstaten en de drie andere EER-landen (Noorwegen, IJsland en Liechtenstein) hebben de Algemene Verordening Gegevensbescherming van de EU (‘AVG’) in hun nationale wetgeving geïmplementeerd. Landen die zich niet aan de AVG houden, zijn zogenaamde derde landen. Op grond van de AVG mag u persoonsgegevens alleen naar een derde land doorgeven als dat land een passend beschermingsniveau voor gegevens biedt. De AVG biedt een breed scala aan waarborgmechanismen op basis waarvan u gegevens kunt doorgeven aan derde landen. Hieronder vallen:

  • Adequaatheidsbesluiten van de Europese Commissie. Hierin legt de Commissie vast dat een derde land een passend beschermingsniveau voor de persoonsgegevens van de EU waarborgt.
  • Bindende bedrijfsvoorschriften (‘BCR’s’). Hierin legt een organisatie de waarborgen vast voor de bescherming van persoonsgegevens bij de doorgifte naar derde landen binnen een groep van ondernemingen.
  • Standaardcontractbepalingen (‘SCC’s’). Dit zijn modelclausules voor gegevensbescherming die door de Europese Commissie zijn goedgekeurd.

De VS is een derde land en biedt geen adequaat beschermingsniveau. Amerikaanse bedrijven verwerken echter vaak gegevens van EU-burgers in opdracht van Europese ondernemingen. Bedrijven aan beide zijden van de Atlantische Oceaan hebben dus behoefte aan een mechanisme om te voldoen aan de AVG. Daarom is het EU-VS Privacy Shield in het leven geroepen.

Wat regelt het Privacy Shield?

Amerikaanse bedrijven kregen de kans om vrijwillig aan dit model te voldoen door middel van certificering, die door het Amerikaanse Ministerie van Handel werd geregistreerd. Als een Amerikaans bedrijf niet volgens dit model gecertificeerd was, moesten er contractuele afspraken worden gemaakt om aan de AVG te voldoen. Het model stond een vrije overdracht van gegevens toe van de EU naar Amerikaanse bedrijven die onder het Privacy Shield waren gecertificeerd. De Europese Commissie erkende in een adequaatheidsbeslissing dat de VS, beperkt tot het Privacy Shield, een adequaat beschermingsniveau bood zoals vereist door de AVG.

Schrems II

In Schrems II oordeelde het Hof van Justitie van de Europese Unie dat:

  1. het Privacy Shield geen adequaat beschermingsniveau voor gegevens biedt tussen de EU en de VS en daarom ongeldig is; en
  2. de door de Europese Commissie goedgekeurde standaardcontractbepalingen geldig blijven. Aanvullende beschermingsmaatregelen zijn nodig wanneer de standaardcontractbepalingen worden gebruikt als juridische grondslag voor de overdracht van gegevens. De gegevensexporteur is verantwoordelijk voor de beoordeling of het beschermingsniveau van de landen waarnaar de gegevens worden verzonden, adequaat is. De exporteur moet rekening houden met:
    1. de inhoud van de standaardcontractbepalingen;
    2. de specifieke omstandigheden van de doorgifte, en
    3. de wettelijke regeling die in het land van de importeur van toepassing is.

Let op: volgens het Europees Comité voor gegevensbescherming moet u deze aanvullende beschermingsmaatregelen ook in acht nemen wanneer u bindende bedrijfsvoorschriften als juridische grondslag gebruikt.

Een stap vooruit: hoe gaan we nu verder?

Als gevolg van de onmiddellijke inwerkingtreding van het arrest is de overdracht van gegevens op basis van het Privacy Shield vanaf 16 juli 2020 onwettig. Daarom willen wij u enkele aandachtspunten meegeven.

1. Regel een alternatief

Indien bedrijven uit de EU en de VS gegevens willen blijven doorgeven tussen de EU en de VS, dan moeten zij snel passende alternatieve waarborgmechanismen implementeren, zoals standaardcontractbepalingen of bindende bedrijfsvoorschriften. Zo voorzien zij ten minste in een juridische grondslag voor de doorgifte van gegevens. Het hebben van een juridische grondslag op zich garandeert echter niet noodzakelijkerwijs een adequaat beschermingsniveau.

2. Beoordeel per geval of voldaan wordt aan de AVG

Bij de implementatie van de standaardcontractbepalingen of bindende bedrijfsvoorschriften moet het niveau van gegevensbescherming in het invoerende land worden beoordeeld. Bij de beoordeling moet rekening worden gehouden met de onder ii genoemde factoren en met aanvullende maatregelen die kunnen worden genomen om een adequaat beschermingsniveau te bieden. Aanvullende maatregelen kunnen wettelijke, technische (bv. encryptie) of organisatorische maatregelen zijn. De standaardcontractbepalingen of bindende bedrijfsvoorschriften moeten er samen met eventuele aanvullende maatregelen voor zorgen dat de Amerikaanse wetgeving geen inbreuk maakt op het adequate beschermingsniveau dat zij garanderen. Dit vereist een analyse per geval en een beoordeling van de omstandigheden van de doorgifte. Controleer hierbij als verwerkingsverantwoordelijke goed of uw verwerker gebruik maakt van diensten uit de VS (bijv. Google Analytics).

3. Staak zo nodig de doorgifte van persoonsgegevens

Als niet voor passende waarborgen kan worden gezorgd, dient de gegevensexporteur de doorgifte van persoonsgegevens op te schorten of te staken. U moet uw bevoegde toezichthoudende autoriteit op de hoogte stellen als u van plan bent om, ondanks deze conclusie, door te gaan met de overdracht van gegevens.

4. Overweeg alternatieven

  1. onderzoek of het mogelijk is de gegevensverwerking en -opslag naar Europa te verplaatsen;
  2. zoek naar Europese alternatieven voor datadiensten om mee te werken; en/of
  3. sluit alleen contracten met een Europese dochteronderneming van een bedrijf uit een derde land als dat een adequaat beschermingsniveau voor gegevens garandeert.

5. Volg de ontwikkelingen

Volg nauwlettend de ontwikkeling van alternatieve instrumenten of nieuwe waarborgen door de Europese Commissie.

Let op: het Amerikaanse Department of Commerce zal het Privacy Shield programma blijven toepassen. De beslissing van het Hof van Justitie van de Europese Unie ontslaat deelnemende (gecertificeerde) Amerikaanse bedrijven niet van hun verplichtingen op grond van het Privacy Shield. Amerikaanse bedrijven mogen zich echter wel terugtrekken uit het Privacy Shield. De principes van het Privacy Shield blijven wel van toepassing op de gegevens die het bedrijf heeft ontvangen tijdens de deelname aan het Privacy Shield.

Wat kunnen wij voor u doen?

U kunt bij Russell Advocaten terecht met al uw AVG-gerelateerde zaken. Wij helpen u graag om te beoordelen hoe u aan alle eisen kunt voldoen om gegevens binnen en buiten de EU te kunnen verwerken en overdragen. Neem contact met ons op:

    Bovenstaande gegevens verwerken wij met uw toestemming, u kunt uw toestemming altijd weer intrekken. Lees ook onze privacyverklaring.

    Gerelateerde publicaties

    AVG: Overzicht nieuwe Europese regelgeving

    In deze nieuwsbrief zet Russell Advocaten voor u kort op een rij wat de belangrijkste verwachte wijzigingen in de Europese privacywetgeving zijn. Meer gedetailleerde informatie vindt u in onze reeks nieuwsbrieven over dit onderwerp.

    Lees meer

    AVG: Verwerker of verwerkingsverantwoordelijke, wat bent u?

    De nieuwe Europese privacywetgeving zorgt voor veel verwarring. Voldoet u al aan de AVG?

    Lees meer

    Is uw personeelsadministratie klaar voor de AVG?

    Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?

    Lees meer

    25 September 2024: Cybersecurity and Data Protection in Litigation

    Wednesday 25 September 2024, Reinier Russell will discuss cybersecurity and data protection in litigation at the European meeting of the World Litigation Forum in Barcelona.

    Lees meer

    1 januari 2024: Modelovereenkomst vrije vervanging vervalt

    Een belangrijk middel om te voorkomen dat een opdrachtovereenkomst toch een arbeidsovereenkomst blijkt te zijn is het gebruiken en correct uitvoeren van de modelovereenkomsten op de site van de Belastingdienst. Per 1 januari 2024 vervallen echter alle modellen die geheel of gedeeltelijk uitgaan van de mogelijkheid van vervanging. Wat betekent dit voor opdrachtgevers en opdrachtnemers?

    Lees meer

    Wat betekent de Wet homologatie onderhands akkoord (WHOA) voor schuldeisers?

    De WHOA maakt het makkelijker voor een bedrijf dat failliet dreigt te gaan om een faillissement te voorkomen. Dat kan door een bindend akkoord met alle schuldeisers, ook als zij niet allemaal met het akkoord instemmen. Welke rechten hebben schuldeisers in de WHOA-procedure?

    Lees meer