Dit is een gastbijdrage van ICTRecht.
Op 16 juli 2020 is het EU-VS Privacy Shield ongeldig verklaard door het Hof van Justitie van de Europese Unie in de ‘Schrems II zaak’. Dit betekent dat je geen persoonsgegevens meer mag doorgeven aan de Verenigde Staten met een beroep op het Privacy Shield als passende waarborg. Wil je weten of deze uitspraak op jou van toepassing is en wat je dan het beste kunt doen? In dit artikel vind je het antwoord!
Waarom was het Privacy Shield er?
In de Algemene verordening gegevensbescherming (AVG) staan regels voor doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER), ook wel derde landen genoemd. Persoonsgegevens mogen alleen worden verstuurd naar derde landen wanneer er passende waarborgen voor de bescherming van privacy zijn getroffen.
Het Privacy Shield was als passende waarborg ontwikkeld om organisaties binnen de VS de mogelijkheid te bieden om zich te certificeren. Via deze certificering konden zij aan Europese organisaties laten zien dat ze voldoende maatregelen hadden getroffen ter bescherming van Europese persoonsgegevens, om zo toch zaken met elkaar te kunnen doen.
Wat heeft het Hof van de EU besloten?
Het Hof van Justitie van de Europese Unie heeft met haar uitspraak het Privacy Shield ongeldig verklaard. Dat betekent dat je als organisatie in de EU persoonsgegevens niet meer door mag geven aan organisaties opererend in de VS op grond van het Privacy Shield. Het Hof vindt namelijk dat er een beschermingsniveau moet worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door de AVG.
In de VS bestaat er geen gelijkwaardig niveau van bescherming van persoonsgegevens. Met name het feit dat in bepaalde Amerikaanse wetgeving staat dat de Amerikaanse inlichtingen- en veiligheidsdiensten het recht hebben om alle gegevens bij Amerikaanse bedrijven in te zien en te gebruiken, wringt. In de praktijk betekent dit namelijk dat de Amerikaanse inlichtingen- en veiligheidsdiensten ongericht en op grote schaal gegevens van EU-burgers mogen verwerken. Iets wat regelrecht ingaat tegen de regels neergelegd in de AVG. Omdat het Privacy Shield deze bezwaren niet wegnam, is het mechanisme niet geschikt bevonden als waarborg.
Welke stappen moet je nemen?
Deze uitspraak heeft gevolgen voor veel bedrijven en organisaties. Volg het stappenplan om erachter te komen of dit ook voor jou geldt, en welke stappen dan ondernomen dienen te worden.
Stap 1: Onderzoek
Je begint bij het in kaart brengen van de ontvangers van data. Zoek uit of jij persoonsgegevens doorgeeft aan ontvangers opererend in de VS. Daarbij moet de term ‘doorgeven’ ruim worden geïnterpreteerd. Ook het geven van toegang tot persoonsgegevens, het beschikbaar stellen ervan of het opslaan op servers in de VS valt hieronder.
Veel organisaties en bedrijven maken gebruik van ten minste één dienst of applicatie afkomstig van een Amerikaanse leverancier. Maak je bijvoorbeeld gebruik van een cookie van Hubspot, een Facebookpixel of een social media-button op je website, dan is er al sprake van verwerken in de VS. Cloudopslag via Microsoft 365, iCloud of Dropbox? Ook dat is een verwerking in de VS. Een overzicht van de bedrijven die zijn geraakt, kun je opzoeken via de volgende link: https://www.privacyshield.gov/list.
Maar let goed op: wanneer je gegevens op jouw eigen verzoek worden doorgegeven naar de VS, dan is er niets aan de hand! Het doorgeven van jouw eigen gegevens aan een organisatie in de VS, op jouw eigen verzoek, dat kan nog gewoon. Je kunt dus nog gewoon je privépagina op Facebook blijven gebruiken, een mail versturen via Gmail en jouw gegevens opslaan in iCloud, zo lang je hier maar zélf toestemming voor geeft. Ook in de zakelijke sfeer blijft doorgifte aan de VS in beperkte gevallen, waarbij je enkel jouw gegevens verwerkt, mogelijk. Bijvoorbeeld als je als zzp’er je eigen gegevens opslaat met Microsoft 365 of Dropbox.
De bovengenoemde doorgiftes zijn toegestaan onder de AVG, omdat deze plaatsvinden op basis van jouw toestemming. Let wel op, toestemming is slechts in beperkte gevallen werkbaar. Doorgifte op basis van toestemming van derden kan problematisch zijn, gezien deze toestemming aan alle eisen van de AVG moet voldoen. De toestemming moet vrij, specifiek, ondubbelzinnig en op informatie berust zijn. Bovendien moet de betrokkene die toestemming ook op ieder moment zonder nadelige gevolgen kunnen intrekken.
De volgende stappen zijn alleen relevant indien je niet toestemming hanteert als middel om de doorgifte rechtmatig te maken.
Stap 2: Bekijk alternatieven
Wanneer je gebruikmaakte van het Privacy Shield om data naar de VS te sturen, moet je onmiddellijk handelen nu de regeling van tafel is geveegd. Er is geen bedenktijd, aldus het Europees Comité voor Gegevensbescherming.
Wanneer toestemming niet mogelijk is, doe je er goed aan om jezelf de vraag te stellen: Is het echt noodzakelijk om mijn gegevens naar de VS te sturen, of heb ik een Europees alternatief? Houd daarbij in je achterhoofd dat er boetes gegeven kunnen worden voor doorgiftes die niet in lijn zijn met de AVG. Zo’n boete kan oplopen tot wel 20 miljoen euro of 4% van de wereldwijde omzet. Het is heel belangrijk dat je als bedrijf kunt laten zien dat je bekend bent met de uitspraak en dat passende acties ondernomen worden om met de gevolgen ervan om te kunnen gaan.
Stap 3: Informeer betrokkenen
Geef jij, of geeft jouw organisatie na stap 2 nog steeds gegevens door aan organisaties in de VS? Dan vereist de AVG dat betrokkenen hierover geïnformeerd worden. Daarbij is het belangrijk om duidelijk te laten weten dat de organisatie de ontstane situatie serieus neemt en ontwikkelingen op de voet volgt. Dit kun je doen door hierover uitleg te geven in je privacyverklaring. Deze informatieplicht heb je overigens ook voor doorgifte naar andere landen buiten de EER.
Stap 4: Houd de autoriteiten scherp in de gaten
Houd tot slot ook goed in de gaten wat de Europese toezichthouders nog over dit onderwerp gaan melden. In Nederland is dit de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens en het Europees Comité voor Gegevensbescherming zullen over de vervolgstappen namelijk ongetwijfeld blijven adviseren.
De Schrems II zaak heeft het privacyland goed op z’n kop gezet. Was de uitspraak op jou van toepassing? Dan is mijn advies: blijf alert op nieuwe ontwikkelingen en zorg ervoor dat je direct handelt indien nodig. Alleen dan zorg je ervoor dat je AVG-proof blijft!
Dit gastartikel werd geschreven door Anouk van Rijn
STRATO geeft geen juridisch advies
We willen je met dit blog informeren over actuele onderwerpen. Maar we zijn geen juristen en mogen je dus ook geen juridisch advies geven. Neem daarom altijd contact op met een juridisch expert als je vragen hebt over dit specifieke onderwerp of andere juridische thema’s.
Anouk van Rijn
Anouk van Rijn werkt als juridisch adviseur binnen het privacy team van ICTRecht. Zij adviseert organisaties over juridische kwesties op het gebied van privacy en de AVG.
Je kunt pas een reactie plaatsen nadat je ons privacybeleid en cookies hebt geaccepteerd. Om privacyredenen mogen wij jouw persoonsgegevens anders niet verwerken.
Klik onderaan de pagina op de blauwe button OK. Nadat je de pagina opnieuw hebt geladen, kun je een reactie achterlaten.