Twinkle | Digital Commerce

Privacy Shield ongeldig, wat nu?

2020-07-21
1000562
  • 2:40

Vorige week werd het Privacy Shield ongeldig verklaard door het Hof van Justitie van de Europese Unie. Dit gebeurde in de zogenoemde Schrems II zaak. Wat nu?

Tekst: Beryl Hetharia

Doorgifte van persoonsgegevens naar derde landen

In de AVG staan regels voor doorgifte van persoonsgegevens naar landen buiten de EER. Geef je als organisatie persoonsgegevens door aan een partij die gevestigd is in een derde land, dan is dat alleen toegestaan in onderstaande gevallen:

- als er een adequaatheidsbesluit is;

- als gebruik wordt gemaakt van de standaardbepalingen die door de Europese Commissie zijn opgesteld;

- als er bindende bedrijfsvoorschriften zijn opgesteld;

- als sprake is van een van de afwijkingen genoemd in artikel 49 AVG.

Schrems II zaak

De Oostenrijkse Maximillian Schrems heeft ongeveer 5 jaar geleden ervoor gezorgd dat Safe Harbor (de voorganger van het Privacy Shield) ongeldig is verklaard. Na deze uitspraak bleef Schrems van mening dat er geen passende bescherming is voor doorgifte van persoonsgegevens aan de Verenigde Staten. Ook het Privacy Shield bood volgens hem onvoldoende bescherming tegen het datagraaien van de Amerikaanse inlichtingendiensten. In de Schrems II zaak pleitte Schrems dat er geen persoonsgegevens vanuit Facebook Ierland mochten worden doorgegeven aan het machtige Facebook van Mark Zuckenberg, gevestigd in de Verenigde Staten, omdat zijn privacy daar niet gewaarborgd kan worden.

Het Europese Hof heeft een oordeel geveld over doorgifte van persoonsgegevens op basis van het Privacy Shield en de standaardbepalingen van de Europese Commissie.

Privacy Shield

Amerikaanse overheidsinstanties kunnen toegang verkrijgen tot persoonsgegevens die vanuit Europa naar de Verenigde Staten worden doorgestuurd. En hierdoor, zo vindt het Hof, biedt het Privacy Shield onvoldoende bescherming. Bescherming van privacy waar personen op basis van de AVG wel degelijk recht op hebben. Daarnaast worden aan personen geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten toegekend. De (veel te laat) aangestelde ombudsman biedt hier ook niet voldoende waarborgen. Het Hof concludeert dan ook dat het Privacy Shield ongeldig is.

Standaardbepalingen

Voor wat betreft de standaardbepalingen die door de Europese Commissie zijn opgesteld, heeft het Hof geoordeeld dat op basis van die bepalingen een passend beschermingsniveau kan worden gewaarborgd voor de doorgifte van persoonsgegevens. Dit is echter wel met de nodige kanttekeningen. Op basis van de standaardbepalingen is het zo dat doorgifte van gegevens kan worden opgeschort of verboden als blijkt dat die bepalingen worden geschonden of onmogelijk kunnen worden nageleefd. Bijvoorbeeld door datagraaiende Amerikaanse inlichtingendiensten. Dat is niets nieuws. Maar dat is wel de reden dat het Hof van mening is dat de standaardbepalingen nog steeds gebruikt kunnen worden om gegevens buiten de EER te brengen. Let wel, kúnnen worden.

Wat de gevolgen hier praktisch van zijn moet nog blijken. Jij zal als Europese partij aan moeten tonen dat er in een land buiten de EER geen risico’s zijn ten aanzien van bijvoorbeeld inlichtingendiensten die bij de data zouden willen.

Gevolgen voor organisaties

Grote Amerikaanse partijen zijn vaak aangesloten bij het Privacy Shield. Denk aan de techbedrijven, social mediabedrijven maar ook cookieleveranciers. Nu het Privacy Shield ongeldig is verklaard, mogen persoonsgegevens vanuit Europa alleen aan Amerikaanse partijen worden doorgegeven indien op een andere manier een passend niveau van rechtsbescherming kan worden gewaarborgd. Of de standaard contractuele bepalingen hiervoor gebruikt kunnen worden is hoogst twijfelachtig. Geldt daarvoor immers niet dezelfde redenatie die ten grondslag ligt aan het einde van Privacy Shield?

Beryl Hetharia is juridisch adviseur bij ICTRecht. Dit artikel is daar ook te lezen.