Privacy Shield ongeldig: wat zijn de mogelijke gevolgen?

Sep 15 2020 - privacy 

De afgelopen maanden werd de gemiddelde privacyjurist overspoeld met vragen van ongeruste ondernemers. Dit heeft alles te maken met een beslissing van de hoogste Europese rechter, het Hof van Justitie van de Europese Unie (EU). De zaak, Schrems-II, draait om het Privacy Shield-verdrag tussen de EU en de Verenigde Staten. Het Privacy Shield zag het levenslicht in 2016 nadat haar voorganger – de zogenaamde Safe Harbour beschikking – in 2015 ongeldig werd verklaard. Met het Privacy Shield konden ondernemingen zichzelf certificeren en een ‘passend beschermingsniveau’ bieden voor doorgifte van persoonsgegevens naar de VS. Het Hof heeft het Privacy Shield nu ongeldig verklaard. Waarom eigenlijk? Daar kom je in deze blog achter. Ook komen de mogelijke gevolgen voor ondernemers aan bod.

AVG: doorgifte van gegevens buiten de EU

Volgens de Algemene Verordening Gegevensbescherming (AVG) mogen persoonsgegevens – gegevens die herleidbaar zijn tot een persoon – niet zomaar worden doorgegeven naar landen buiten de Europese Unie (derde landen). De VS is een voorbeeld van zo’n derde land. Doorgifte is alleen toegestaan wanneer het beschermingsniveau van de AVG niet wordt ondermijnd. De AVG noemt verschillende manieren waarop aan deze voorwaarde kan worden voldaan. Twee hiervan spelen een rol in de Schrems-II-zaak:

  • doorgifte op basis van een adequaatheidsbesluit (in dit geval: het Privacy Shield-verdrag tussen de EU en de VS);
  • doorgifte op basis van modelcontracten (ook wel standaardbepalingen, standard contractual clauses of SCC's genoemd).

Uitspraak Europees Hof

Privacy-activist Max Schrems procedeerde met zijn organisatie NOYB (None Of Your Business) tegen datadoorgifte door Facebook naar de VS. Uiteindelijk belandde de zaak bij het Europees Hof, dat op 16 juli 2020 oordeelde dat het Privacy Shield onvoldoende bescherming biedt. Dit ligt vooral aan de Amerikaanse surveillancewetgeving, waaruit blijkt dat inlichtingen- en veiligheidsdiensten persoonsgegevens mogen inzien en gebruiken. Hierbij is géén sprake van een beperking tot het strikt noodzakelijke. Bovendien krijgen EU-burgers onvoldoende bescherming wanneer zij een klacht hebben over de verwerking van hun persoonsgegevens in de VS.

In tegenstelling tot het Privacy Shield zouden modelcontracten wel degelijk uitkomst kunnen bieden bij doorgifte van persoonsgegevens van de EU naar de VS. Het Europees Hof heeft het mechanisme van de SCC's namelijk niet ongeldig verklaard. Maar als belangrijke voorwaarde om je op de SCC's te kunnen beroepen, stelt het Europees Hof dat een gelijkwaardig beschermingsniveau moet worden gewaarborgd. De verzender van de persoonsgegevens dient er dus voor te waken dat de rechten van betrokkenen onder de AVG zorgvuldig beschermd worden. Feitelijk gezien betekent dit dat men zich in heel veel gevallen niet (!) kan beroepen op de SCC's, omdat een gelijkwaardig beschermingsniveau niet kan worden gewaarborgd vanwege de Amerikaanse surveillancewetgeving.

Wat betekent Schrems-II concreet voor ondernemers in de EU?

Duidelijk is in ieder geval dat ondernemers geen persoonsgegevens meer kunnen doorgeven op basis van het Privacy Shield. Dit betekent om te beginnen dat je jouw privacyverklaring moet aanpassen. De precieze gevolgen van de uitspraak en nadere invulling van de modelcontracten zijn echter nog volop in ontwikkeling. Het is daarom belangrijk om de website van de Autoriteit Persoonsgegevens en de EDBD goed in de gaten te houden. Ondernemers die persoonsgegevens doorgeven naar de VS doen er in ieder geval goed aan om niet af te wachten, maar in actie te komen. Ga eens kijken naar Europese alternatieven en maak alvast de overstap (of bereid je hier in ieder geval op voor).

Krijg ik een boete als ik gebruik blijf maken van Amerikaanse leveranciers?

Wij verwachten niet dat er direct een boete op je deurmat valt als je gebruik blijft maken van Amerikaanse leveranciers (en bijbehorende diensten) zoals Mailchimp, Hubspot, Google Analytics, Facebook, Gmail, Microsoft, Cloudinary, enzovoorts. In de praktijk maken Europese bedrijven massaal gebruik van dergelijke diensten en zijn we dus eigenlijk met zijn allen "illegaal" bezig. Feitelijk gezien kan je wel degelijk een boete ontvangen, want er is geen overgangsperiode voor deze uitspraak.

Meer weten over de Schrems II uitspraak? Bekijk dan ook eens deze video op YouTube.

Ben jij ondernemer en wil je advies over de manier waarop je persoonsgegevens kan doorgeven naar landen buiten de EU? Neem dan gerust contact met ons op.