EU-US Privacy Shield (ook) nietig verklaard

Opnieuw heeft het Europese Hof van Justitie een streep gehaald door de afspraken tussen de EU en de VS. De afspraken gingen  over de veilige verzending van persoonsgegevens naar partijen in de VS.

Met de (vernieuwde) regels in het EU-US Privacy Shield beoogden de EU en de VS een geheel van afspraken te hebben vastgelegd. Hieronder vallen afspraken over doorgifte van persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten, gegevensbescherming en privacy van Europese burgers.

Het Hof heeft echter geoordeeld dat de met het EU-US Privacy Shield gemaakte afspraken niet voldoende waarborgen bieden voor een beschermingsniveau dat op hoofdlijnen overeenkomt met het beschermingsniveau dat binnen de EU bestaat. Dat is voldoende om het EU-US Privacy Shield ongeldig te verklaren.

De vereiste waarborgen

Uit de Europese privacy ‘grondwet’ Algemene Verordening Gegevensbescherming (AVG) volgt dat persoonsgegevens alleen onder strikte voorwaarden mogen worden doorgegeven aan personen of organisaties buiten de Europese Economische Ruimte (derde landen), zoals de VS.

Dit is alleen toegestaan wanneer in die derde landen het door de AVG gewaarborgde beveiligingsniveau voor persoonsgegevens niet wordt ondermijnd. De AVG beschrijft een aantal mogelijkheden om hiervoor te zorgen.

Zo zijn daar:

  • De doorgifte van persoonsgegevens op basis van een door de Europese Commissie (EC) afgegeven adequaatheidsbesluit (zoals het EU-US Privacy Shield);
  • De doorgifte van persoonsgegevens op basis van door indviduele partijen gesloten modelcontracten (welke modellen zijn opgesteld/goedgekeurd door de EC, ook wel standard contractual clauses of SCC’s genoemd).

Schrems II

In de door Maximillian Schrems aangespannen zaak heeft het Hof van Justitie nu gesteld dat ook het EU-US Privacy Shield onvoldoende bescherming kan garanderen voor de zorgvuldigde verwerking van persoonsgegevens van Europese burgers. Dat hangt samen met het feit dat, op grond van de Amerikaanse wetgeving, inlichtingen- en veiligheidsdiensten in de VS het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. Dit is niet beperkt tot strikt noodzakelijk gegevens.

Behandeling van klachten
Daarnaast trekt het Hof de conclusie dat het mechanisme van de nationale ombudsman in de VS niet genoeg bescherming biedt, in het geval dat EU-burgers een klacht hebben over de verwerking van hun persoonsgegevens in de VS. Het Hof oordeelt dat het mechanisme onvoldoende de onafhankelijkheid van de ombudsman en diens bevoegdheid om bindende besluiten te nemen kan verzekeren.

Modelcontracten
Naar het oordeel van het Hof kunnen de standard contractual clauses in beginsel nog wel een geldige grondslag bieden voor rechtmatige doorgifte van persoonsgegevens naar landen buiten de EU. Het is dan wel noodzakelijk dat er een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd.

En nu?

Kort en goed is het gevolg van de uitspraak van het Hof dat alle verzending van persoonsgegevens vanuit EU landen naar de VS, welke plaatsvinden op basis van het Privacy Shield, onrechtmatig zijn. Die partijen zullen op een zo kort mogelijke termijn alternatieve waarborgen moeten realiseren.

Meer informatie?

Indien u wilt weten of uw verzending van persoonsgegevens aan de VS rechtmatig zijn of dat u voor alternatieve waarborgen zult moeten zorgen en welke mogelijkheden daarvoor bestaan neemt u dan contact op met ons team privacy. Wij kunnen u hierover adviseren en in overleg met u inventariseren welke maatregelen kunnen worden genomen.

September 2020

27225 
Ik help u graag verder
Ruben Veenhuysen
Advocaat
Meest gelezen
  • ‘Kopietje paspoort’
  • ‘Oude’ pandeigenaren versus nieuw...
  • ‘Recht op vergetelheid’ heeft geen...
  • “Als lekkerste getest” niet...
  • “Detachering” leerling is verwijdering

Website feedback

Wij stellen uw mening erg op prijs. Om uw ervaring te verbeteren vragen wij ongeveer 1 minuut van uw tijd om onze website te beoordelen.

You have Successfully Subscribed!