Europees Hof verwijst EU-VS Privacy Shield naar de prullenbak. En nu?

21 jul 2020

Op 16 juli 2020 heeft het Europese Hof van Justitie het zogenaamde EU-VS Privacy Shield van tafel geveegd. De Europese Commissie en Europese lidstaten riepen het EU-VS Privacy Shield in 2016 in het leven om uitwisseling van persoonsgegevens met de VS te vereenvoudigen. Het Privacy Shield verving de Safe Harbor Privacy Principles, die het Hof in 2015 al naar de prullenbak verwees.

Achtergrond

Een van de doelen van de Algemene Verordening Gegevensbescherming (AVG) is het adequaat beschermen van persoonsgegevens van Europese burgers, ook wanneer deze naar landen buiten de EU worden verzonden. De AVG maakt die doorgifte dan ook slechts in bepaalde gevallen mogelijk. Bijvoorbeeld op basis van een adequaatheidsbesluit. Doorgifte is ook mogelijk als in het ontvangende land passende waarborgen worden geboden, welke  onder andere kunnen worden ingevuld door modelcontractsbepalingen (MCB’s).

Een adequaatheidsbesluit is een besluit van de Europese Commissie, waarmee zij vaststelt dat het beschermingsniveau van persoonsgegevens in het ontvangende land buiten de EU vergelijkbaar is met het beschermingsniveau binnen de EU. Het EU-VS Privacy Shield is een dergelijk adequaatheidsbesluit. Om gebruik te maken van het EU-VS Privacy Shield moet een Amerikaans bedrijf zich certificeren en houden aan bepaalde principes. Het Europese Hof verwijst het EU-VS Privacy Shield nu dus naar de prullenbak.

Beslissing Europees Hof

Het Europese Hof stelt voorop dat als organisaties persoonsgegevens doorgeven aan organisaties in landen buiten de EU, het beschermingsniveau ongeveer gelijkwaardig moet zijn aan dat binnen de EU. Of dit het geval is, is onder andere afhankelijk van de aanwezigheid van passende waarborgen, afdwingbare rechten en effectieve rechtsmiddelen in het ontvangende land. Het Hof geeft daarbij aan dat, wanneer er geen adequaatheidsbesluit ligt, de toezichthouder de doorgifte van persoonsgegevens door een organisatie moet opschorten of verbieden als blijkt dat de MCB’s in het land van ontvangst buiten de EU niet worden of niet kunnen worden nageleefd en het vereiste beveiligingsniveau niet op een andere manier kan worden gewaarborgd. Als de verwerkingsverantwoordelijke de doorgifte buiten de EU zelf niet al heeft stopgezet, moet de nationale toezichthouder dus ingrijpen.

Het Hof concludeert uiteindelijk dat het doorgeven van persoonsgegevens buiten de EU op basis van MCB’s (in principe) mogelijk blijft. De verzendende en ontvangende organisatie moeten vooraf wel nagaan of het vereiste beschermingsniveau het land van ontvangst wordt gehaald. Gelet op het onderstaande lijkt dit voor de VS  niet het geval te zijn.

Privacy Shield

Het Hof gaat vervolgens in op het EU-VS Privacy Shield. Waarom wordt het Privacy Shield van tafel geveegd?

De Europese Commissie stelt in artikel 1 lid 1 van het Privacy Shield besluit vast dat de VS een passend beschermingsniveau waarborgt voor persoonsgegevens die vanuit de EU aan in de VS gevestigde organisaties worden doorgegeven. Het Hof is het daar, gelet op de verschillende surveillanceprogramma’s van de Amerikaanse overheid, niet mee eens.

Deze surveillanceprogramma’s zijn volgens het Hof een beperking op de bescherming van persoonsgegevens die verder gaat dan strikt noodzakelijk. Dit is in strijd met het Europese Unierecht. Daarnaast is de door de Amerikaanse overheid aangestelde EU-VS Privacy Shield ombudsman volgens het Hof niet onafhankelijk genoeg. Ook zijn er geen rechtsmiddelen waarop betrokken EU-burgers, waarvan de gegevens naar de VS worden gestuurd,  zich in de VS kunnen beroepen.

Volgens het Hof is er dus geen sprake van een door de VS gewaarborgd passend beschermingsniveau, terwijl dit wel is opgenomen in artikel 1 lid 1 van het Privacy Shield besluit. Het Hof velt vervolgens het vernietigend oordeel dat het EU-VS Privacy Shield besluit ongeldig is.

Wat nu?

Met haar beslissing snijdt het Hof een van de routes voor de doorgifte van persoonsgegevens vanuit de EU aan de VS af. De doorgifte van persoonsgegevens op basis van het Privacy Shield zou dus per direct moeten stoppen. Volgens de website van Privacy Shield gaat het in totaal om 5.378 organisaties die op basis van het EU-VS Privacy Shield persoonsgegevens van EU-burgers ontvangen. Deze beslissing treft onder andere bedrijven zoals Facebook, Google, Snapchat, LinkedIn, Amazon, HP en Samsung.

Hoewel het gebruik van MCB’s voor doorgifte buiten de EU in principe mogelijk blijft, moeten de verzender en de ontvanger voorafgaand aan de doorgifte nagaan of het door het Europese Unierecht vereiste beschermingsniveau in het ontvangende land wordt geëerbiedigd. Gelet op het oordeel van het Hof dat er in de VS geen sprake is van een gewaarborgd passend beschermingsniveau, is het maar zeer de vraag of organisaties die onder de Amerikaanse surveillancewetgeving vallen de MCB’s wel kunnen naleven en dus mogen hanteren. Doorgifte van persoonsgegevens aan organisaties in de VS op basis van MCB’s is met deze uitspraak dus ook onzeker geworden.

Persoonsgegevens

Amerikaanse organisaties komen echter niet in een vacuüm terecht. Zij vallen in principe terug op artikel 49 AVG. Hierin staan verschillende gronden voor de doorgifte van persoonsgegevens buiten de EU als een adequaatheidsbesluit ontbreekt en MCB’s niet kunnen worden gebruikt. Deze uitspraak stelt organisaties in de VS in dat opzicht gelijk aan organisaties in andere landen buiten de EU. Doorgifte is op basis van artikel 49 AVG is bijvoorbeeld mogelijk wanneer de betrokken persoon hiervoor expliciete en geïnformeerde toestemming geeft of wanneer dit noodzakelijk is voor de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verwerkingsverantwoordelijke  in de EU en de ontvangende partij in de VS. In hoeverre de 5.300+ participanten van het Privacy Shield aan deze eisen (kunnen) voldoen, is echter maar de vraag.

Datastromen

Hoewel de absoluut noodzakelijke datastromen vanuit de EU naar de VS vooralsnog door kunnen gaan, is er wel sprake van een aardverschuiving op het gebied van de datastromen vanuit de EU naar de VS. De Amerikaanse overheid steekt vooralsnog haar kop in het zand en houdt het Privacy Shield in stand. Daarbij waarschuwt de Amerikaanse minister van Economische Zaken voor nadelige gevolgen voor transatlantische economische relatie ter waarde van $7,1 biljoen. De Europese Commissie gaf op haar beurt eind juni 2020 al aan bezig te zijn met de modernisatie van MCB’s. Het is nu aan de (inter)nationale toezichthouder(s) en beleidsmakers om aan te geven hoe met deze uitspraak wordt omgegaan. Let daarbij op: het risico van onrechtmatige doorgifte van persoonsgegevens ligt bij u als verwerkingsverantwoordelijke.

Wat kunnen en moeten organisaties doen?

Voor organisaties is het belangrijk om na te gaan of er persoonsgegevens van Europese burgers worden doorgegeven naar organisaties in Amerika, en zo ja of daarvoor het EU-VS Privacy Shield als grondslag wordt gebruikt. Hiervoor kan naast de eigen administratie ook de website van Privacy Shield worden geraadpleegd. Op die website zijn alle organisaties die gebruik maken van het EU-VS Privacy Shield geregistreerd.

Geeft de organisatie inderdaad persoonsgegevens van EU-burgers door aan organisaties in de VS op basis van Privacy Shield, dan moet bekeken worden of het onderliggende contract voorziet in de toepassing van MCB’s in het geval dat Privacy Shield ongeldig zou worden verklaard. Is dit niet het geval, dan moeten er ‘passende beveiligingsmaatregelen’ worden genomen, zoals het alsnog toepassen van MCB’s. Let er daarbij wel op dat het gebruik van MCB’s, gelet op het bovenstaande, niet de perfecte oplossing is. En de doorgifte van persoonsgegevens op basis van artikel 49 AVG levert vaak een onwerkbare situatie op. Het systematisch terugvallen op dit artikel als basis voor de doorgifte van persoonsgegevens buiten Europa lijkt dan ook onwenselijk.

Conclusie

Samenvattend is deze uitspraak van het Europese Hof van Justitie een oproep aan organisaties om hun internationale stromen van persoonsgegevens (met name die naar de VS) tegen het licht te houden. Wanneer deze doorgifte van persoonsgegevens van EU-burgers verloopt op basis van Privacy Shield, moet actie worden ondernomen. Denk daarbij aan het aanpassen van privacy statements, intern privacy beleid en het verwerkingsregister. Maar ook aan het maken van nieuwe afspraken met ontvangende partijen in de VS. Daarbij is het van belang om eventuele sturing van de (inter)nationale toezichthouder(s), zoals de Nederlandse Autoriteit Persoonsgegevens, in de gaten te houden.

Mocht dit overweldigend klinken, neem dan contact op met BG.legal. De gevolgen van deze uitspraak en eventuele sturing vanuit de toezichthouders volgen wij namelijk op de voet.

Tom Oerlemans

    Contact

      Hoezo kan ik geen eigenaar zijn van (zorg)data?
      Lees meer
      Cybersecurity in de zorg: dreigingen in beeld!
      Lees meer
      Een webshop: mag alles zomaar of gelden er regels?
      Lees meer
      Kortingsregelingen voor MKB-ondernemers bij juridisch advies
      Lees meer
      Mag je foto's van werknemers gebruiken?
      Lees meer
      Rechtbank geeft Autoriteit Persoonsgegevens rode kaart
      Lees meer
      Schizofrene patiënt maakt betalingen over aan ‘vriendinnen’ in het buitenland.
      Lees meer
      Is nieuwe wet- of regelgeving nodig voor AI?
      Lees meer
      Gepubliceerde boetes of berispingen zorgpersoneel zijn openbaar
      Lees meer
      Hulp bij verwijderen van vervelende YouTube video’s: een stappenplan
      Lees meer
      Wetgever wil rol curator als verwerker van persoonsgegevens vastleggen
      Lees meer
      Nieuwe UAVG verduidelijkt omgang met medische gegevens in faillissement
      Lees meer
      Verwerking medische persoonsgegevens verduidelijkt in nieuwe UAVG
      Lees meer
      Een kritische blik op de Corona-apps van de overheid
      Lees meer
      Nieuw Intellectueel Eigendomsrecht/ IT recht advocatenkantoor in Eindhoven
      Lees meer
      5 TIPS: Wettelijke bewaartermijnen van persoonsgegevens
      Lees meer
      Hoever mag je gaan bij het nabootsen van een stijl/concept?
      Lees meer
      Adidas merk onderuit door nieuwe uitspraak
      Lees meer
      Aanvraag Tommy Hilfiger bescherming auteursrechten afgewezen
      Lees meer
      Inbreuk op merken in de beauty branche
      Lees meer
      Domeinnamen en merken: het wil nog wel eens botsen
      Lees meer
      Hoe bescherm ik mijn intellectuele eigendom bij een faillissement?
      Lees meer
      Privacyrecht
      Lees meer