Lisanne is advocaat voor corporate litigation en stichtingen en verenigingen
lisanne.meijerhof@russell.nl +31 20 301 55 55Reinier adviseert nationale en internationale bedrijven
reinier.russell@russell.nl +31 20 301 55 55Het EU-US Privacy Shield is ongeldig verklaard. Dit betekent dat bedrijven een andere juridische grondslag nodig hebben voor de overdracht van persoonsgegevens van EU-burgers naar de VS. Wij bevelen sterk aan om snel gebruik te gaan maken van andere waarborgmechanismen, zoals standaardcontractbepalingen of bindende bedrijfsbesluiten.
Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig verklaard in zaak C-311/18 (genaamd: “Schrems II”). Het besluit heeft grote gevolgen voor bedrijven die hun gegevensoverdracht tussen de EU en de VS op het Privacy Shield hebben gebaseerd. Welke gevolgen zijn dit?
Alle EU-lidstaten en de drie andere EER-landen (Noorwegen, IJsland en Liechtenstein) hebben de Algemene Verordening Gegevensbescherming van de EU (‘AVG’) in hun nationale wetgeving geïmplementeerd. Landen die zich niet aan de AVG houden, zijn zogenaamde derde landen. Op grond van de AVG mag u persoonsgegevens alleen naar een derde land doorgeven als dat land een passend beschermingsniveau voor gegevens biedt. De AVG biedt een breed scala aan waarborgmechanismen op basis waarvan u gegevens kunt doorgeven aan derde landen. Hieronder vallen:
De VS is een derde land en biedt geen adequaat beschermingsniveau. Amerikaanse bedrijven verwerken echter vaak gegevens van EU-burgers in opdracht van Europese ondernemingen. Bedrijven aan beide zijden van de Atlantische Oceaan hebben dus behoefte aan een mechanisme om te voldoen aan de AVG. Daarom is het EU-VS Privacy Shield in het leven geroepen.
Amerikaanse bedrijven kregen de kans om vrijwillig aan dit model te voldoen door middel van certificering, die door het Amerikaanse Ministerie van Handel werd geregistreerd. Als een Amerikaans bedrijf niet volgens dit model gecertificeerd was, moesten er contractuele afspraken worden gemaakt om aan de AVG te voldoen. Het model stond een vrije overdracht van gegevens toe van de EU naar Amerikaanse bedrijven die onder het Privacy Shield waren gecertificeerd. De Europese Commissie erkende in een adequaatheidsbeslissing dat de VS, beperkt tot het Privacy Shield, een adequaat beschermingsniveau bood zoals vereist door de AVG.
In Schrems II oordeelde het Hof van Justitie van de Europese Unie dat:
Let op: volgens het Europees Comité voor gegevensbescherming moet u deze aanvullende beschermingsmaatregelen ook in acht nemen wanneer u bindende bedrijfsvoorschriften als juridische grondslag gebruikt.
Als gevolg van de onmiddellijke inwerkingtreding van het arrest is de overdracht van gegevens op basis van het Privacy Shield vanaf 16 juli 2020 onwettig. Daarom willen wij u enkele aandachtspunten meegeven.
Indien bedrijven uit de EU en de VS gegevens willen blijven doorgeven tussen de EU en de VS, dan moeten zij snel passende alternatieve waarborgmechanismen implementeren, zoals standaardcontractbepalingen of bindende bedrijfsvoorschriften. Zo voorzien zij ten minste in een juridische grondslag voor de doorgifte van gegevens. Het hebben van een juridische grondslag op zich garandeert echter niet noodzakelijkerwijs een adequaat beschermingsniveau.
Bij de implementatie van de standaardcontractbepalingen of bindende bedrijfsvoorschriften moet het niveau van gegevensbescherming in het invoerende land worden beoordeeld. Bij de beoordeling moet rekening worden gehouden met de onder ii genoemde factoren en met aanvullende maatregelen die kunnen worden genomen om een adequaat beschermingsniveau te bieden. Aanvullende maatregelen kunnen wettelijke, technische (bv. encryptie) of organisatorische maatregelen zijn. De standaardcontractbepalingen of bindende bedrijfsvoorschriften moeten er samen met eventuele aanvullende maatregelen voor zorgen dat de Amerikaanse wetgeving geen inbreuk maakt op het adequate beschermingsniveau dat zij garanderen. Dit vereist een analyse per geval en een beoordeling van de omstandigheden van de doorgifte. Controleer hierbij als verwerkingsverantwoordelijke goed of uw verwerker gebruik maakt van diensten uit de VS (bijv. Google Analytics).
Als niet voor passende waarborgen kan worden gezorgd, dient de gegevensexporteur de doorgifte van persoonsgegevens op te schorten of te staken. U moet uw bevoegde toezichthoudende autoriteit op de hoogte stellen als u van plan bent om, ondanks deze conclusie, door te gaan met de overdracht van gegevens.
Volg nauwlettend de ontwikkeling van alternatieve instrumenten of nieuwe waarborgen door de Europese Commissie.
Let op: het Amerikaanse Department of Commerce zal het Privacy Shield programma blijven toepassen. De beslissing van het Hof van Justitie van de Europese Unie ontslaat deelnemende (gecertificeerde) Amerikaanse bedrijven niet van hun verplichtingen op grond van het Privacy Shield. Amerikaanse bedrijven mogen zich echter wel terugtrekken uit het Privacy Shield. De principes van het Privacy Shield blijven wel van toepassing op de gegevens die het bedrijf heeft ontvangen tijdens de deelname aan het Privacy Shield.
U kunt bij Russell Advocaten terecht met al uw AVG-gerelateerde zaken. Wij helpen u graag om te beoordelen hoe u aan alle eisen kunt voldoen om gegevens binnen en buiten de EU te kunnen verwerken en overdragen. Neem contact met ons op:
In deze nieuwsbrief zet Russell Advocaten voor u kort op een rij wat de belangrijkste verwachte wijzigingen in de Europese privacywetgeving zijn. Meer gedetailleerde informatie vindt u in onze reeks nieuwsbrieven over dit onderwerp.
De nieuwe Europese privacywetgeving zorgt voor veel verwarring. Voldoet u al aan de AVG?
Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?
Wednesday 25 September 2024, Reinier Russell will discuss cybersecurity and data protection in litigation at the European meeting of the World Litigation Forum in Barcelona.
Een belangrijk middel om te voorkomen dat een opdrachtovereenkomst toch een arbeidsovereenkomst blijkt te zijn is het gebruiken en correct uitvoeren van de modelovereenkomsten op de site van de Belastingdienst. Per 1 januari 2024 vervallen echter alle modellen die geheel of gedeeltelijk uitgaan van de mogelijkheid van vervanging. Wat betekent dit voor opdrachtgevers en opdrachtnemers?
De WHOA maakt het makkelijker voor een bedrijf dat failliet dreigt te gaan om een faillissement te voorkomen. Dat kan door een bindend akkoord met alle schuldeisers, ook als zij niet allemaal met het akkoord instemmen. Welke rechten hebben schuldeisers in de WHOA-procedure?