Privacy Shield ongeldig verklaard: wat nu?

26 augustus 2021
Artikel

De ongeldigverklaring van het Privacy Shield door het Europees Hof van Justitie heeft grote gevolgen op het gebied van privacy. Mogelijk heeft dit ook effect op uw organisatie, aldus de European Data Protection Board (EDPB). Wat zijn de gevolgen voor uw bedrijf en welke acties moet u ondernemen?

Portretfoto van Niels Ista
Neem contact op met:
Niels Ista Jurist ondernemingsrecht en ICT-recht
Privacy Shield ongeldig verklaard: wat nu?

European Data Protection Board (EDPB)

De EDPB stelt dat organisaties per ommegaande hun datatransfers tegen het licht moeten houden als gevolg van de ongeldigverklaring van het Privacy Shield. Organisaties die data verzenden onder deze regeling moeten hier per direct mee stoppen, anders handelen zij illegaal en in overtreding met de GDPR. Er geldt geen ‘regulatory grace period’, oftewel een overgangsperiode, om te kunnen handelen naar deze nieuwe realiteit.

Het Europese Hof van Justitie vindt dat de overdracht van persoonlijke data naar een derde land net zo beschermd moet zijn als de mate van bescherming in de GDPR. De EDPB verplicht organisaties dan ook om de (competente) nationale toezichthouder in te lichten als zij gegevens willen blijven doorgeven aan de Verenigde Staten. Voor Nederlandse organisaties betekent dit dat zij contact moeten onderhouden met de Autoriteit Persoonsgegevens. Hoe dit in de praktijk uitpakt, is nog onduidelijk.

Vragen en antwoorden

De EDPB heeft een lijst met vragen en antwoorden gepubliceerd die informatie geven over datatransfers richting organisaties die zijn gesitueerd in de Verenigde Staten. De EDPB hecht er belang aan dat organisaties die persoonsgegevens richting de Verenigde Staten versturen of dit van plan zijn, nagaan of hun privacybeleid nog op orde is en voldoet aan de voorwaarden en bepalingen van de General Data Protection Regulation (GDPR).

Alternatieven

Standard Contractual Clauses (SCC’s) zijn niet ongeldig verklaard door de uitspraak van het Europees Hof van Justitie. Ook gebruik van de zogenaamde Binding Corporate Rules (BCR's) behoort thans nog tot de mogelijkheden. Dit betekent echter niet dat het gebruik van de SCC’s of BCR’s direct passende alternatieven opleveren voor de Privacy Shield-regeling. Volgens de EDPB is dan de enige oplossing om een contractuele clausule op te nemen waarin staat dat er geen data wordt verzonden richting de Verenigde Staten.

Wat kunt u zelf doen?

Door de uitspraak van het Europees Hof van Justitie voldoen organisaties die persoonsgegevens doorgeven aan organisaties die gesitueerd zijn in de Verenigde Staten op basis van het Privacy Shield niet langer aan de voorwaarden en bepalingen van de GDPR. Als uw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten, moet u dan ook direct actie ondernemen:

  • Controleer en wijzig uw privacystatement daar waar nodig.
  • Controleer afspraken met derden.
  • Verwerk persoonsgegevens (voorlopig) zoveel als mogelijk binnen de Europese Economische Ruimte (EER).
  • Volg de richtlijnen en uitspraken van Europese Toezichthouders en meld zo nodig uw datatransfers richting de Verenigde Staten.

Wat kan ABAB Legal voor u betekenen?

De juristen ondernemingsrecht en ICT-recht van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacyrecht en kunnen u bijstaan bij het opmaken van uw privacybeleid. Met de hulp van onze juristen weet u of uw organisatie voldoet aan de voorwaarden en bepalingen van de AVG. Neem voor meer informatie of advies over privacywetgeving contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail.

Wilt u meer weten over het Privacy Shield? Onze jurist helpt u graag verder!

E-mail Niels
Portretfoto van Niels Ista
Jurist ondernemingsrecht en ICT-recht
Bel
013-4647180