Europese data-uitwisseling met VS ongeldig verklaard

17 augustus 2021
Artikel

Het Europees Hof van Justitie heeft bepaald dat de Verenigde Staten persoonsgegevens die vanuit de Europese Unie worden doorgegeven onvoldoende beschermt. Het resultaat: een ongeldig verklaring van het Privacy Shield door het Europees Hof van Justitie.

Portretfoto van Niels Ista
Neem contact op met:
Niels Ista Jurist ondernemingsrecht en ICT-recht
Documenten voor data-uitwisseling op slot

Privacy Shield

Een van de vereisten uit de Algemene Verordening Gegevensbescherming (AVG) is dat persoonsgegevens van EU-burgers niet zomaar naar derde (niet-AVG) landen kunnen worden verstuurd, als deze niet eenzelfde mate van privacy-waarborging kennen. Voor de internationale handel echter is het vrijwel onmogelijk om géén persoonsgegevens uit te wisselen. Daarom kent de AVG  enkele uitzonderingen die het mogelijk maken voor een Europese organisatie om toch persoonsgegevens uit te wisselen met derde landen als deze waarborg ontbreekt. Dit mag als:

  • Er een adequaatheidsbesluit bestaat.
  • Er gebruik wordt gemaakt van de standaardbepalingen die door de Europese Commissie zijn opgesteld (ook wel: standard contractual clauses).
  • Er bindende bedrijfsvoorschriften zijn opgesteld.
  • Er sprake is van een van de afwijkingen genoemd in artikel 49 AVG.

Overeenkomsten ongeldig verklaard

Zoals hierboven aangegeven is één van de uitzonderingen het sluiten van een overeenkomst met een derde land (adequaatheidsbesluit). In de overeenkomst garandeert het derde land eenzelfde mate van privacy-waarborging als de Europese standaard. Europa heeft met de VS een tweetal van dit soort overeenkomsten gesloten. Echter, inmiddels zijn beide overeenkomsten (Privacy Shield en Safe Harbor) door het Europees Hof van Justitie ongeldig verklaard. Ze voldeden niet aan de vereisten.

Het Europees Hof van Justitie constateerde dat de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben op de privacy van EU-burgers. Ook kunnen EU-burgers niet optreden tegen een inbreuk op hun privacy. Daarnaast erkent het Europees Hof van Justitie dat de standard contractual clauses door hun contractuele aard niet bindend zijn voor de autoriteiten van het derde land waarnaar persoonsgegevens worden doorgegeven. Dit doet volgens haar echter niet af aan de geldigheid van de standard contractual clauses. Bepalend is of de standaardbepalingen de privacy voldoende waarborgen. De doorgifte van persoonsgegevens op basis van de standaardbepalingen moet daarnaast kunnen worden opgeschort of verboden als ze worden geschonden of niet (kunnen) worden nageleefd. Het Europees Hof van Justitie oordeelt dat de standard contractual clauses dergelijke waarborgen biedt.

Hoe nu verder?

Grote Amerikaanse organisaties zijn doorgaans aangesloten bij het Privacy Shield. Hierbij valt te denken aan de grotere techbedrijven, social mediabedrijven maar ook cookieleveranciers. Nu het Privacy Shield ongeldig is verklaard, mogen persoonsgegevens vanuit Europa alleen aan Amerikaanse organisaties worden doorgegeven als op een andere manier een passend niveau van rechtsbescherming kan worden gewaarborgd. Of de standaard contractuele bepalingen hiervoor gebruikt kunnen worden is nog maar de vraag. De standard contractual clauses bevatten namelijk een verplichting voor zowel de verstrekker als ontvanger om vooraf na te gaan of het vereiste Europese beschermingsniveau in acht wordt genomen in het derde land. Nu dat beschermingsniveau in de VS niet gegarandeerd kan worden, wordt het mogelijk lastig om gebruik te maken van de standard contractual clauses.

Mogelijkheden datadoorgifte

De huidige, juridische situatie betekent overigens niet dat er geen e-mails vanuit de EU naar de VS gestuurd kunnen worden, of dat er in zijn geheel niets meer kan. Doorgifte van data is mogelijk als die 'noodzakelijk' is, bijvoorbeeld als de betrokkene nadrukkelijk heeft ingestemd met de voorgestelde doorgifte en op de hoogte is van de risico's. Daarnaast kan doorgifte ook als die nodig is om gewichtige redenen van algemeen belang of als het nodig is om aan een contract te voldoen.

Meer informatie

De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacy recht, en kunnen u bijstaan bij het opmaken van privacy beleid. Met behulp van onze juristen kunt u checken of uw organisatie voldoet aan de voorwaarden en bepalingen van de AVG. Neem voor meer informatie of advies over de privacywetgeving contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail.

Wilt u meer weten over privacy? Onze jurist helpt u graag verder!

E-mail Niels
Portretfoto van Niels Ista
Jurist ondernemingsrecht en ICT-recht
Bel
013-4647180