Het Hof van Justitie verklaart het EU-VS-Privacyschild (Privacy Shield) ongeldig. Doorsturen van gegevens naar Verenigde Staten niet meer toegestaan, tenzij afspraken zijn gemaakt.
Het Hof van Justitie verklaart het EU-VS-Privacyschild (Privacy Shield) ongeldig. Doorsturen van gegevens naar Verenigde Staten niet meer toegestaan, tenzij afspraken zijn gemaakt.
Het Hof van Justitie verklaart het EU-VS-Privacyschild (Privacy Shield) ongeldig. Doorsturen van gegevens naar Verenigde Staten niet meer toegestaan, tenzij afspraken zijn gemaakt.
Algemeen
De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat de doorgifte van persoonsgegevens naar een land buiten de Europese Unie in beginsel slechts kan plaatsvinden indien het derde land (niet EU land) een passend beschermingsniveau waarborgt. De commissie kan landen aanwijzen waarvan nationale wetgeving of internationale toezeggingen een passend beschermingsniveau bieden (een adequaatsheidbesluit). Is er geen adequaatheidsbesluit genomen, dan mag data alleen worden doorgeven aan niet EU land als de partij die de gegevens exporteert passende waarborgen biedt. De gegevensexporteur kan passende waarborgen bieden door met standaard contractuele bepalingen (door de Europese Commissie vastgesteld) verplichtingen op te leggen aan de ontvanger van de gegevens en, zodoende, de betrokkene afdwingbare rechten en doeltreffende rechtsmiddelen te verschaffen. Betrokkene zijn de personen van wie de persoonsgegevens zijn.
Voor de Verenigde Staten, als strategisch en handelspartner van Europa, ligt het anders. De EU en de VS hebben geprobeerd afspraken te maken, zodat transatlantische datatransfers konden (blijven) plaatsvinden.
Safe harbor
Om goed te begrijpen wat er nu aan de hand is, kijken we naar hoe de verhouding tussen de Verenigde Staten en Nederland tot stand is gekomen. Tussen de EU en de Verenigde Staten wordt een enorme hoeveelheid data uitgewisseld. De Europese Commissie en de Amerikaanse Department of Commerce hebben het Safe Harbor mechanisme ontwikkeld als zelfregulerend framework dat ervoor zou zorgen dat organisaties bij het verrichten van transatlantische datatransfers zouden voldoen aan de Europese regelgeving. Op 26 juli 2000 heeft de Europese Commissie besloten dat persoonsgegevens veilig konden worden uitgewisseld met Amerika. Het Safe Harbor mechanisme kreeg veel kritiek, omdat partijen niet aan de verplichtingen voldeden en omdat er nauwelijks actief werd gehandhaafd. Nadat Edward Snowden onthulde dat de veiligheidsdiensten van de Verenigde Staten op grote schaal gegevens onderzochten, heeft de Europese Commissie aangegeven te gaan heronderhandelen. Met uiteindelijk dertien specifieke aanbevelingen wilde de Europese Commissie de tekortkomingen van Safe Harbor aanpakken.
Schrems I
Tegelijkertijd werd de geldigheid van Safe Harbor in twijfel getrokken door de Oostenrijkse rechtenstudent Maximillian Schrems, die een klacht indiende bij de Ierse Autoriteit Persoonsgegevens. Schrems vroeg persoonsgegevensuitwisselingen door Facebook Ireland naar de Verenigde staten te beëindigen. Als verwerkingsverantwoordelijke zou Facebook Ireland niet mogen vertrouwen op het Safe Harbor framework. De klacht escaleerde. Op 6 oktober 2015 oordeelde de CJEU (Hof van Justitie van de Europese Unie) dat de adequaatsbesluitSafe Harbor ongeldig was (Ook wel bekend als de Schrems I uitspraak).
Privacy Shield
Kort daarna, op 29 februari 2016 presenteerde de Europese Commissie een nieuw concept adequaatheidsbesluit voor de Verenigde Staten. Ten opzichte van Safe Harbor had het Privacy Shield meer checks and balances en legde het Privacy Shield specifiekere en exactere eisen op aan organisaties die zich bij het Privacy Shield wilde aansluiten. Na kritiek van WP29 (de voorganger van de European Data Protection Board, alle nationale Autoriteit Persoonsgegevens bij elkaar), is het adequaatheidsbesluit definitief genomen.
Schrems II (16 juli 2020)
Op 16 juli 2020 heeft het CJEU geoordeeld dat het Privacy Shield besluit ongeldig is. Tenzij er sprake is van een geldig adequaatheidsbesluit, zijn autoriteiten (zoals de Autoriteit Persoonsgegevens) verplicht om een doorgifte van gegevens naar een derde land op te schorten of te verbieden, wanneer de standaardbepalingen inzake gegevensbescherming niet worden of niet kunnen worden nageleefd.
Het CJEU geeft ook een oordeel over de standaard contractuele clausules, ook wel de standaardbepalingen genoemd. Het gaat om vooraf door de Europese Commissie goedgekeurde standaard afspraken tussen de exporteur en importeur van gegevens. Voorbeelden van importeurs van persoonsgegevens zijn de cloudprovider, die gegevens doorstuurt naar servers in de Verenigde Staten of de cookieleverancier, die persoonsgegevens via uw website verzameld en voor u verwerkt tot iets bruikbaars in de Verenigde Staten. De Europese Commissie heeft besloten dat standaardbepalingen ertoe kunnen leiden dat wordt voldaan aan de vereisten van de AVG. De norm is als volgt. Het CJEU onderzoekt of dat besluit doeltreffende mechanismen bevat waarmee in de praktijk kan worden gewaarborgd dat het beschermingsniveau van de AVG in acht wordt genomen en dat doorgifte van persoonsgegevens wordt opgeschort in geval die bepalingen worden geschonden of onmogelijk kunnen worden nageleefd. Het CJEU stelt vast dat het besluit van de Europese Commissie over de contractuele bepalingen voldoet aan deze norm. De exporteur en ontvanger van de gegevens moeten vooraf nagaan of het juiste beschermingsniveau in acht wordt genomen in het derde land, en dat de ontvanger verplicht is zich te melden als hij niet in staat is om de standaardbepalingen na te leven.
Wat u nu moet doen: gevolgen voor ondernemers
- Geen paniek. Na de uitspraak over Safe Harbor heeft de Europese Commissie niet lang op zich laten wachten met een concept en heronderhandeling. De samenwerking tussen de EU en de VS is zowel strategisch als commercieel. Het volume van de transatlantische doorgifte van gegevens is zodanig dat beide partijen gebaat zijn bij praktische en heldere oplossingen. Het kan niet anders dat de Europese Commissie al naar mogelijkheden en oplossingen aan het kijken is.
- Weliswaar is het Privacy Shield ongeldig, maar tussen partijen kunnen de standaardbepalingen worden overeengekomen om doorgifte van persoonsgegevens mogelijk te maken. Dan geldt wel de open norm/contractuele verplichting dat u als exporteur moet nagaan of het beschermingsniveau in acht wordt genomen. De vraag: “wat doet u met de gegevens?” is en blijft een relevante en belangrijke vraag. Amerikaanse partij moet dan wel garanderen dat hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt. Indien hij om welke reden dan ook daartoe niet in staat is, zal hij ermee moeten instemmen de gegevensexporteur onverwijld daarvan in kennis te stellen, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen. De gedachte achter de standaardbepalingen is dat het juiste beschermingsniveau in acht wordt genomen en vooral dat de betrokkene zijn rechten kan blijven uitoefenen.
- Op korte termijn alle datatransfers opschorten? Ik denk dat dat praktisch onmogelijk is. Neem contact op met uw leverancier en verzoek hem met u de standaardbepalingen overeen te komen. Deze zijn geldig verklaard en ook voor de toekomst staat u er dan steviger en beter voor. Uiteraard kan ik dit ook voor u doen en voor u de beste oplossing uitonderhandelen. Hulp nodig? Neem contact op.
En Schrems?
Hoewel het Privacy Shield adequaatheidsbesluit ongeldig is verklaard, zijn de standaardbepalingen geldig verklaard. Facebook Ireland voert de doorgifte van persoonsgegevens tussen Ierland en de Verenigde Staten uit op basis van die standaardbepalingen.
