Nieuws, Blog en Publicaties

De advocaten van Russell Advocaten schrijven geregeld over actuele juridische ontwikkelingen. Hieronder vindt u een overzicht van onze blogs, nieuwsbrieven, boeken en artikelen.

Lees meer

Uw advocaat

mr. drs. Reinier W.L. Russell
mr. drs. Reinier W.L. Russell
managing partner

Reinier Russell adviseert nationale en internationale bedrijven in alle facetten van de dagelijkse bedrijfsvoering. Hij is breed gespecialiseerd in kwesties rond ondernemingen, personeel, vastgoed en overheid. Hij is sinds 1990 advocaat. Tevens is hij gecertificeerd mediator.
 

@: reinier.russell@russell.nl
t: +31 20 301 55 55


EU-VS Privacy Shield ongeldig: wat nu?

Publicatiedatum: 27 augustus 2020

Persoonsgegevens EU-burgers mogen niet langer naar de Verenigde Staten

   English version

Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig verklaard in zaak C-311/18 (genaamd: "Schrems II"). Het besluit heeft grote gevolgen voor bedrijven die hun gegevensoverdracht tussen de EU en de VS op het Privacy Shield hebben gebaseerd. Welke gevolgen heeft dit?
 

Een stap terug: wat is het EU-VS Privacy Shield?

Alle EU-lidstaten en de drie andere EER-landen (Noorwegen, IJsland en Liechtenstein) hebben de Algemene Verordening Gegevensbescherming van de EU (‘AVG’) in hun nationale wetgeving geïmplementeerd. Landen die zich niet aan de AVG houden, zijn zogenaamde derde landen. Op grond van de AVG kunnen persoonsgegevens alleen naar een derde land worden doorgegeven als dat land een passend beschermingsniveau voor gegevens biedt. De AVG biedt een breed scala aan waarborgmechanismen op basis waarvan gegevens kunnen worden doorgegeven aan derde landen, waaronder:

  • Adequaatheidsbesluiten van de Europese Commissie, waaruit voortvloeit dat een derde land een passend beschermingsniveau voor de persoonsgegevens van de EU waarborgt;
  • Bindende bedrijfsvoorschriften (‘BCR’s’), waarin een organisatie de waarborgen voor de bescherming van persoonsgegevens bij de doorgifte naar derde landen binnen een groep van ondernemingen vastlegt;
  • Standaardcontractbepalingen (‘SCC’s’), zijn modelclausules voor gegevensbescherming die door de Europese Commissie zijn goedgekeurd.

De VS is een derde land en biedt geen adequaat beschermingsniveau. Om bedrijven aan beide zijden van de Atlantische Oceaan een mechanisme te bieden om te voldoen aan de gegevensbeschermingsvereisten die voortvloeien uit de AVG, is het EU-VS Privacy Shield in het leven geroepen. Amerikaanse bedrijven kregen de kans om vrijwillig aan dit model te voldoen door middel van certificering, die door het Amerikaanse Ministerie van Handel werd geregistreerd. Als een Amerikaans bedrijf niet volgens dit model gecertificeerd was, moesten er contractuele afspraken worden gemaakt om aan de AVG te voldoen. Het model stond een vrije overdracht van gegevens toe van de EU naar Amerikaanse bedrijven die onder het Privacy Shield waren gecertificeerd. De Europese Commissie erkende in een adequaatheidsbeslissing dat de VS, beperkt tot het Privacy Shield, een adequaat beschermingsniveau bood zoals vereist door de AVG.
 

Schrems II

In Schrems II oordeelde het Hof van Justitie van de Europese Unie dat:

  1. het Privacy Shield geen adequaat beschermingsniveau voor gegevens biedt tussen de EU en de VS en daarom ongeldig is; en
  2. de door de Europese Commissie goedgekeurde standaardcontractbepalingen geldig blijven. Er moeten echter aanvullende beschermingsmaatregelen worden genomen wanneer de standaardcontractbepalingen worden gebruikt als juridische grondslag voor de overdracht van gegevens. De gegevensexporteur is verantwoordelijk voor de beoordeling of het beschermingsniveau van de landen waarnaar de gegevens worden verzonden, adequaat is. De exporteur moet rekening houden met de inhoud van de standaardcontractbepalingen, de specifieke omstandigheden van de doorgifte en de wettelijke regeling die in het land van de importeur van toepassing is.

Let op: volgens het Europees Comité voor gegevensbescherming moeten deze aanvullende beschermingsmaatregelen ook in acht worden genomen wanneer bindende bedrijfsvoorschriften als juridische grondslag worden gebruikt.
 

Een stap vooruit: hoe gaan we nu verder?

Als gevolg van de onmiddellijke inwerkingtreding van het arrest is de overdracht van gegevens op basis van het Privacy Shield vanaf 16 juli 2020 onwettig.

Daarom willen wij u enkele aandachtspunten meegeven:

  1. Indien bedrijven uit de EU en de VS gegevens willen blijven doorgeven tussen de EU en de VS, wordt ten zeerste aanbevolen om snel passende alternatieve waarborgmechanismen te implementeren, zoals standaardcontractbepalingen of bindende bedrijfsvoorschriften, teneinde ten minste te voorzien in een juridische grondslag voor de doorgifte van gegevens. Het hebben van een juridische grondslag op zich garandeert echter niet noodzakelijkerwijs een adequaat beschermingsniveau.
  2. Bij de implementatie van de standaardcontractbepalingen of bindende bedrijfsvoorschriften moet het niveau van gegevensbescherming in het invoerende land worden beoordeeld. Bij de beoordeling moet rekening worden gehouden met de onder ii genoemde factoren en met aanvullende maatregelen die kunnen worden genomen om een adequaat beschermingsniveau te bieden. Aanvullende maatregelen kunnen wettelijke, technische (bv. encryptie) of organisatorische maatregelen zijn. De standaardcontractbepalingen of bindende bedrijfsvoorschriften moeten er samen met eventuele aanvullende maatregelen voor zorgen dat de Amerikaanse wetgeving geen inbreuk maakt op het adequate beschermingsniveau dat zij garanderen. Dit vereist een analyse per geval en een beoordeling van de omstandigheden van de doorgifte. Controleer hierbij als verwerkingsverantwoordelijke goed of uw verwerker gebruik maakt van diensten uit de VS (bijv. Google Analytics).
  3. Indien niet voor passende waarborgen kan worden gezorgd, dient de gegevensexporteur de doorgifte van persoonsgegevens op te schorten of te staken. U moet uw bevoegde toezichthoudende autoriteit op de hoogte stellen als u van plan bent om, ondanks deze conclusie, door te gaan met de overdracht van gegevens.
  4. Overweeg alternatieven:
    1. onderzoek of het mogelijk is de gegevensverwerking en -opslag naar Europa te verplaatsen;
    2. zoek naar Europese alternatieven voor datadiensten om mee te werken; en/of
    3. sluit alleen contracten met een Europese dochteronderneming van een bedrijf uit een derde land als dat een adequaat beschermingsniveau voor gegevens garandeert.
  5. Volg nauwlettend de ontwikkeling van alternatieve instrumenten of nieuwe waarborgen door de Europese Commissie.

Let op: het Amerikaanse Department of Commerce heeft verklaard het Privacy Shield programma te blijven toepassen. De beslissing van het Hof van Justitie van de Europese Unie ontslaat deelnemende (gecertificeerde) Amerikaanse bedrijven niet van hun verplichtingen op grond van het Privacy Shield verplichtingen. Het is echter wel mogelijk voor Amerikaanse bedrijven om zich terug te trekken uit het Privacy Shield. In dat geval moet het bedrijf de principes van het Privacy Schild blijven toepassen op de gegevens die het heeft ontvangen tijdens de deelname aan het Privacy Schild.
 

Wat kunnen wij voor u doen?

U kunt bij Russell Advocaten terecht met al uw AVG-gerelateerde zaken. Wij helpen u graag om te beoordelen hoe u aan alle eisen kunt voldoen om gegevens binnen en buiten de EU te kunnen verwerken en overdragen. Neem contact met ons op:
 

Onderstaande gegevens verwerken wij met uw toestemming, u kunt uw toestemming altijd weer intrekken. Lees ook onze privacyverklaring.
 

Velden met een * zijn verplicht

Blijf op de hoogte

Wilt u graag op de hoogte blijven van de actuele juridische ontwikkelingen?

Meldt u aan voor de nieuwsbrief

Of volg ons op LinkedIn

Bel mij

Vul hier uw naam en telefoonnummer in en wij bellen u zo spoedig mogelijk.
Onderstaande gegevens verwerken wij met uw toestemming, u kunt uw toestemming altijd weer intrekken. Lees ook onze privacyverklaring.