icon

Doorgifte van persoonsgegevens aan derde landen na het ongeldig verklaarde Privacy Shield

Veel in de Europese Unie gevestigde bedrijven geven persoonsgegevens door aan bijvoorbeeld gelieerde vennootschappen of derde partijen die zijn gevestigd in de Verenigde Staten. Die ‘doorgifte’ van persoonsgegevens vormde onder het zogenoemde “Privacy Shield“ juridisch geen probleem. Het Hof van Justitie verklaarde het Privacy Shield op 16 juli 2020 in de zaak Schrems II echter van de ene op de andere dag ongeldig. Die baanbrekende beslissing van het hof heeft een boel onduidelijkheid teweeg gebracht omtrent de rechtmatigheid van de doorgifte van persoonsgegevens vanuit de EU naar de VS. De European Data Protection Board (“EPDB”), ofwel het Europees Comité voor Gegevensbescherming, heeft daarom op 10 november 2020 een aantal aanbevelingen gepubliceerd voor de doorgifte van persoonsgegevens naar derde landen. In dit blog besteden wij aandacht aan het ongeldig verklaarde Privacy Shield en aan de aanbevelingen van de EDPB.

AVG en doorgifte naar derde landen

De Algemene Verordening Gegevensbescherming is rechtstreeks van toepassing in de gehele EU en staat daarmee de doorgifte van persoonsgegevens van de ene naar de andere Europese lidstaat zonder meer toe. Dat is niet verwonderlijk, want alle lidstaten worden immers geacht het door de Verordening gewaarborgde beschermingsniveau te garanderen. Doorgifte van persoonsgegevens aan landen buiten de EU, zogenaamde ‘derde landen’, is echter veel beperkter toegestaan. Voor de doorgifte van persoonsgegevens aan die landen dient sprake te zijn van een door de Europese Commissie genomen adequaatheidsbesluit of van andere “passende waarborgen”.

In het geval van een adequaatheidsbesluit beslist de Europese Commissie dat een volledig land, een specifieke sector of een specifieke organisatie een passend beschermingsniveau voor de verwerking van persoonsgegevens biedt. Wanneer een adequaatheidsbesluit eenmaal is genomen, kan de doorgifte van persoonsgegevens zonder belemmeringen plaatsvinden.

Indien een adequaatheidsbesluit ontbreekt, dan is de doorgifte van persoonsgegevens slechts mogelijk als er passende waarborgen worden geboden. Daar dient de verwerkingsverantwoordelijke of verwerker zelf voor te zorgen, om zo te garanderen dat betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Als passende waarborgen noemt de AVG onder andere: door de Europese Commissie vastgestelde standaardbepalingen (ook wel: modelcontracten) inzake gegevensbescherming, een goedgekeurde gedragscode of bindende bedrijfsvoorschriften.

Privacyshield en Schrems II

Voor de doorgifte van persoonsgegevens naar de Verenigde Staten bestond voorheen een adequaatheidsbesluit. De Europese Commissie stond daarmee toe dat organisaties in de Europese Unie zonder belemmeringen persoonsgegevens konden uitwisselen met in de VS gevestigde organisaties die waren aangesloten bij het zogenoemde “Privacy Shield”.

Het Europese Hof van Justitie heeft dit adequaatheidsbesluit op 11 juli 2020 in de zaak Schrems II echter ongeldig verklaard. Kort samengevat kwam het hof tot die beslissing, omdat Amerikaanse wetgeving toestaat dat inlichtingen- en veiligheidsdiensten het recht hebben om gegevens van burgers uit de Europese Unie in te zien en te gebruiken, zonder dat dit strikt noodzakelijk is. Daarmee kwam het hof tot de conclusie dat de doorgifte van persoonsgegevens aan de Verenigde Staten niet in lijn is met de eisen die de AVG daaraan stelt. Deze baanbrekende beslissing van het hof heeft een boel onduidelijkheid teweeg gebracht. Van de ene op de andere dag was daarmee de veelvoorkomende doorgifte van persoonsgegevens aan de VS immers niet meer in lijn met de Algemene Verordening Gegevensbescherming.

Aanbevelingen EDPB

In een poging om die onduidelijkheid weg te nemen heeft het EDPB op 10 november 2020 een reeks aanbevelingen gepubliceerd voor de doorgifte van persoonsgegevens naar derde landen. Het EDPB merkt op dat onder andere de standaardbepalingen (ook wel: modelcontracten), een goedgekeurde gedragscode en de bindende bedrijfsvoorschriften niet ongeldig zijn verklaard door het Hof van Justitie. Dat betekent echter niet dat het gebruik daarvan zonder meer een passend alternatief vormt voor het ongeldig verklaarde adequaatheidsbesluit.

Modelcontracten, een goedgekeurde gedragscode of bindende bedrijfsvoorschriften kunnen een basis vormen voor de doorgifte van persoonsgegevens aan derde landen, maar bij het gebruik daarvan dien je je doorlopend van een aantal zaken bewust te zijn. Het EDPB geeft daarbij als hulpmiddel het volgende stappenplan:

  • Stap 1: Wees je bewust van de persoonsgegevens die je overdraagt aan derde landen;
  • Stap 2: Weet welke overdrachtsinstrumenten je gebruikt voor de doorgifte van die persoonsgegevens aan derde landen;
  • Stap 3: Beoordeel of er iets in de wet of in de praktijk van deze derde landen bestaat, dat afbreuk kan doen aan de doeltreffendheid van de passende waarborgen van de gebruikte overdrachtsinstrumenten;
  • Stap 4: Stel op basis daarvan vast of er aanvullende maatregelen nodig zijn om het beschermingsniveau van de overgedragen persoonsgegevens op het niveau van de EU-norm te brengen;
  • Stap 5: Neem alle procedurele stappen die nodig zijn voor de goedkeuring van de aanvullende maatregelen. In sommige gevallen is het bijvoorbeeld nodig dat je hiervoor de Autoriteit Persoonsgegevens raadpleegt;
  • Stap 6: Evalueer regelmatig het beschermingsniveau van de persoonsgegevens die je aan het derde land doorgeeft. Houd daarbij zicht op eventuele ontwikkelingen die daarop van invloed kunnen zijn.

Het mag duidelijk zijn dat de doorgifte van persoonsgegevens aan de Verenigde Staten niet meer zo vanzelfsprekend is als onder het Privacy Shield. De recent gepubliceerde aanbevelingen van het EDPB vormen slechts een hulpmiddel om de doorgifte van persoonsgegevens aan derde landen zo doeltreffend mogelijk te implementeren. Heeft uw organisatie te maken met de doorgifte van persoonsgegevens aan derde landen – en die kans is groter dan u wellicht denkt – dan denken wij graag graag met u mee hoe u kunt voldoen aan de eisen van de AVG!

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Doorgifte van persoonsgegevens aan derde landen na het ongeldig verklaarde Privacy Shield

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief