‘Privacy Shield’ in de prullenbak – consequenties voor het bedrijfsleven

De Algemene verordening gegevensbescherming (AVG) schrijft voor dat ‘Europese’ persoonsgegevens niet zomaar verstrekt mogen worden aan personen en organisaties buiten de Europese ruimte. Dit mag alleen indien het beschermingsniveau in het derde land in grote lijnen overeenkomt met het beschermingsniveau binnen de EU. Tussen de EU en de VS werd dit beoogd door middel van het Privacy Shield contract dat afgesloten is tussen bedrijven en een private organisatie. Het is dus géén overheidsregelgeving. Dit maakte het delen van persoonsgegevens uit de EU naar de VS (een derde land) onder de AVG mogelijk, omdat dit passende bescherming zou geven. De recente Schrems II uitspraak van het Hof van Justitie van de Europese Unie (HvJEU) maakt aan deze praktijk een einde met ingang van 16 juli 2020.

Waarom biedt Privacy Shield onvoldoende bescherming naar Europese maatstaven?
In de AVG worden een aantal wegen genoemd waarlangs persoonsgegevens onder bepaalde omstandigheden aan partijen in derde landen kunnen worden doorgegeven. Eén daarvan is doorgifte op basis van adequaatheidsbesluiten, waarbij besloten wordt dat een bepaald land adequate bescherming biedt aan personen tegen de inbreuk op hun privacy. Het Privacy Shield contract viel daaronder. Het Hof besloot echter dat het EU-VS Privacy Shield de persoonsgegevens toch niet genoeg beschermde.

Ten eerste omdat niet gegarandeerd kon worden dat de persoonsgegevens niet gebruikt zouden worden voor andere doeleinden dan die waarvoor ze verstrekt waren. De voornaamste reden hiervoor is de regelgeving van de VS. Inlichtingen- en veiligheidsdiensten uit de VS hebben, in bepaalde omstandigheden, onder de Cloud-act, het recht om gegevens van EU-burgers in te zien en te gebruiken, bijvoorbeeld bij de bestrijding van terrorisme. Deze inbreuk is volgens het Hof niet beperkt tot het strikt noodzakelijke en hierdoor bestaat een te grote kans op willekeur en oneigenlijk gebruik. Tegen deze inmenging bestaan er, volgens het Hof, bovendien onvoldoende juridische mogelijkheden open voor de gegevensverstrekker en als betrokkene om zich hiertegen te verzetten. Al met al is het Privacy Shield contract een inbreuk op het Europese en Universele (mensen)recht op gegevensbescherming. Het Hof verklaart het adequaatheidsbesluit over het Privacy Shield dan ook ongeldig.

Wat heeft dit voor consequenties voor de praktijk van alledag?
Er zijn heel wat bedrijven en organisaties die op basis van het EU-VS Privacy Shield contract persoonsgegevens doorgeven aan partijen die deze gegevens bewaren op het grondgebied in de VS. Denk bijvoorbeeld aan Microsoft en alle persoonsgegevens die met behulp van Microsoft Office365 dagelijks verwerkt en opgeslagen worden via Amerikaanse servers. Microsoft was het eerste Amerikaanse bedrijf dat zich bij het Privacy Shield had aangesloten. Vanaf 16 juli 2020 handelen alle bedrijven die zaken doen met Microsoft en geen bewuste keuze hebben gemaakt voor de Europese servers, dus in strijd met de AVG. Dit is waarschijnlijk het grootste gedeelte van het Nederlandse zakenleven.

Wat is de oplossing voor dit probleem?
Gelukkig worden er in de AVG wel andere manieren genoemd om persoonsgegevens door te geven aan partijen in derde landen. Voorbeelden hiervan zijn ‘doorgiften op basis van passende waarborgen’ en doorgiften via ‘Bindende bedrijfsvoorschriften’. Het HvJEU heeft in dezelfde uitspraak besloten dat doorgifte van persoonsgegevens naar derden landen nog wel mogelijk is via modelcontracten (Standard Contractual Clauses (“SCCs”)). Maar ook dit mag alleen indien het beschermingsniveau in het derde land in grote lijnen overeenkomt met het beschermingsniveau binnen de Europese Unie. Het Hof geeft aan dat bij de beoordeling van dit beschermingsniveau rekening moet worden gehouden met de contractuele bepalingen zelf (dus de inhoud van de SCCs), en de relevante aspecten van het rechtsstelsel van het derde land waar de gegevens naartoe gaan (zoals de eventuele toegang door overheidsinstanties). De verwerkingsverantwoordelijke, dus de bedrijven die hun mailapplicaties en hosting providers kiezen, zal zelf moeten inschatten of de persoonsgegevens in de specifieke omstandigheden van het geval goed beschermd zijn bij doorgifte aan een partij in een derde land. Bovendien zal de verwerkingsverantwoordelijke deze afweging goed moeten documenteren, vanwege de verantwoordingsplicht onder de AVG. Dat zal geen gemakkelijke klus worden.

Een meer concrete Europese handreiking in aantocht.
Momenteel onderzoekt de European Data Protection Board (EDPB) overigens wat de concrete gevolgen zijn van de Schrems II uitspraak met betrekking tot de Privacy Shield. Op korte termijn komt de EDPB met meer tekst en uitleg over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.

Heeft u advies nodig over dit onderwerp, vul dan ons contactformulier in, bel ons op 020-3450152 of mail ons op info@thelegalprivacycompany.com.