Skip to main content
Nieuw verdrag EU en VS over doorgifte van persoonsgegevens

Nieuw verdrag EU en VS over doorgifte van persoonsgegevens

By juli 15, 2016No Comments

Eerder lieten we u weten dat het Europese Hof van Justitie de Safe Harbor regeling ongeldig heeft verklaard. Inmiddels is het nieuwe verdrag, het EU-US Privacy Shield, aangekondigd. De belangrijkste punten voor u op een rijtje.

Safe Harbor
Op grond van de Europese privacyrichtlijn uit 1995, die is geïmplementeerd in de Nederlandse Wet bescherming persoonsgevens, is het verboden om persoonsgegevens te exporteren naar een land buiten de Europese Unie als dat land met betrekking tot persoonsgegevens een ontoereikend beschermingsniveau biedt, zoals de Verenigde Staten.

Om toch persoonsgegevens naar de VS te kunnen doorgeven, heeft de Europese Commissie in 2000 met de VS het Safe Harbor verdrag gesloten. Op basis van dat verdrag was het mogelijk persoonsgegevens over te brengen naar partijen in de VS die zichzelf hadden gecertificeerd op grond van de Safe Harbor Privacy Principles.

Op 6 oktober 2015 heeft het Europese Hof van Justitie de Safe Harbor regeling echter ongeldig verklaard. Volgens het Hof biedt de Safe Harbor regeling onvoldoende bescherming van de privacy van EU-burgers, omdat de regeling er niet voor zorgt dat de Amerikaanse overheid geen toegang kan krijgen tot de persoonsgegevens.

Privacy Shield
Op 2 februari 2016 heeft de Europese Commissie de opvolger van Safe Harbor gepresenteerd: het EU-US Privacy Shield. Het verdrag is enkel aangekondigd. De tekst van het verdrag is nog niet bekend. Wel is duidelijk dat:

  • het EU-US Privacy Shield strengere verplichtingen zal bevatten voor Amerikaanse bedrijven die Europese persoonsgegevens verwerken;
  • overheidsdiensten van de VS aan strenger toezicht zullen worden onderworpen; en
  • klagen over misbruik van het verdrag makkelijker zal worden, omdat bedrijven binnen een bepaalde termijn op klachten moeten reageren en Europese privacyautoriteiten zich rechtstreeks tot de bevoegde Amerikaanse autoriteiten kunnen wenden.

Hoe een en ander uiteindelijk vertaald gaat worden in het Privacy Shield is nog niet duidelijk. De tekst van het verdrag zal de komende tijd worden opgesteld. Het is evenmin duidelijk of bovenstaande punten wel voldoende waarborgen bieden tegen de bezwaren die het Europese Hof van Justitie had tegen Safe Harbor.

Alternatieven en andere grondslagen
Nu de Safe Harbor regeling ongeldig is verklaard en het nieuwe verdrag er nog niet is, moeten Europese bedrijven andere grondslagen hebben om persoonsgegevens naar de VS door te geven. Bedrijven kunnen kiezen uit de volgende mogelijkheden:

  • Geen doorgifte aan de VS door de persoonsgegevens enkel in EU-landen te verwerken.
  • Indien de persoonsgegevens kunnen worden geanonimiseerd – zonder hun bruikbaarheid te verliezen – en daarmee niet meer direct of indirect herleidbaar zijn tot een natuurlijk persoon, is de beperking op doorgifte naar de VS niet van toepassing.
  • Verkrijging van voorafgaande ondubbelzinnige toestemming van de betrokkene tot doorgifte van zijn gegevens aan de VS. Let wel: de betrokkene kan te allen tijde de toestemming intrekken.
  • Doorgifte van gegevens naar de VS kan ook plaatsvinden als de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de en de verantwoordelijke. Deze grondslag zal in veel gevallen niet opgaan omdat deze enkel van toepassing als de betrokkene zelf een overeenkomst met een Amerikaanse partij sluit, maar niet als het bedrijf waarvan de betrokkene een klant is een overeenkomst met een partij in de VS sluit.
  • Doorgifte kan verder plaatsvinden op basis van de modelcontracten van de Europese Commissie. De modelcontracten bieden voor nu nog een grondslag, omdat deze (nog) niet ongeldig zijn verklaard. De kans bestaat echter dat het Europese Hof van Justitie ook deze contracten ook ongeldig verklaart. De modelcontracten zijn te vinden op de website van de Europese Commissie. Een modelcontract moet in ongewijzigde vorm door partijen worden getekend.
  • Doorgifte kan ook plaatsvinden met toepassing van intern bindende bedrijfsvoorschriften (Binding Corporate Rules). Dit is met name geschikt voor concern-relaties.
  • Tot slot kan doorgifte plaatsvinden op basis van een exportvergunning van de Minister. De vraag is echter of een dergelijke vergunning voor export naar de VS voor de Autoriteit Persoonsgegevens geen aanleiding is om handhavend op te treden en een dergelijke doorgifte te beletten.

Conclusie
Het sluiten van een door de Europese Commissie goedgekeurd modelcontract is op dit moment in veel gevallen de meest voor de hand liggende en meest praktische optie.

Gelet op de ontwikkelingen moet goed in de gaten worden gehouden of de getroffen maatregelen, zoals het sluiten van een modelcontract, ook in de toekomst (blijven) voldoen.

Heeft u vragen over doorgifte van persoonsgegevens naar landen buiten Europa en naar de VS in het bijzonder? Neem dan contact op met ons team privacy.

Privacy instellingen

Bepaal welke cookies u wilt toestaan.

U kunt deze instellingen op elk gewenst moment wijzigen. Dit kan er echter toe leiden dat sommige functies niet langer beschikbaar zijn. Raadpleeg de helpfunctie van uw browser voor informatie over het verwijderen van cookies. Voor meer informatie omtrent onze cookies, klik hier.

Onderstaand kunt u de verschillende soorten cookies in- en uitschakelen:

 

Deze website zal

  • Essentieel: onthoud uw instelling voor cookietoestemming
  • Essentieel: sessiecookies toestaan
  • Essentieel: verzamel informatie die u invoert in een nieuwsbrief met contactformulieren en andere formulieren op alle pagina's
  • Essentieel: onthoud de taalversie die je hebt geselecteerd

Deze website zal niet

  • Onthoud uw inloggegevens
  • Functionaliteit: onthoud sociale media-instellingen
  • Functionaliteit: onthoud geselecteerde regio en land
  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyses: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analytics: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analytics: verhoog de datakwaliteit van de statistische functies
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal

  • Uw instelling voor cookietoestemming onthouden

Deze website zal niet

  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen

Deze website zal niet

  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal niet

Opslaan en sluiten