Persoonsgegevens verstrekken aan Amerikaanse leverancier: mag dat nog?
Het Hof van Justitie van de Europese Unie heeft het EU-VS Privacy Shield op 28 juli 2020 ongeldig verklaard in een rechtszaak bekend onder de naam ‘Schrems II’. Dat betekent dat je als organisatie niet zomaar meer persoonsgegevens aan de Verenigde Staten (VS) kan doorgeven op grond van het Privacy Shield. Is er nu reden tot paniek?
Doorgeven van persoonsgegevens
In de Algemene verordening gegevensbescherming (AVG) staat dat het doorgeven van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER), ook wel derde landen genoemd, is toegestaan wanneer aan specifieke voorwaarden is voldaan. Het Privacy Shield was een vorm van certificering waarmee je persoonsgegevens aan de VS mocht verstrekken. Volgens de privacy activist Maximillian Schrems was er echter met het Privacy Shield nog steeds onvoldoende bescherming aanwezig voor Europese persoonsgegevens wanneer deze door Amerikaanse organisaties werden verwerkt. Schrems en velen anderen, zijn namelijk van mening dat de Amerikaanse overheid te makkelijk en op grote schaal data kan inzien en gebruiken. In deze zaak bepleitte Schrems daarom dat er geen persoonsgegevens vanuit Facebook Ierland mochten worden doorgegeven aan het moederbedrijf in de VS, omdat zijn privacy daar gewoonweg niet gewaarborgd kan worden. Het Hof is hierin meegegaan en heeft het Privacy Shield ongeldig verklaard. Maar wat betekent dit nu concreet?
Aanvullende waarborgen
Nu het Hof heeft bepaald dat de VS geen passend beschermingsniveau biedt, moeten ondernemers naar andere mogelijkheden kijken om het doorgeven van persoonsgegevens rechtsgeldig voort te kunnen zetten. Denk hierbij aan bindende bedrijfsvoorschriften, modelcontracten, een gedragscode of certificering. In veel gevallen wordt dat echter een lastig verhaal. Je moet aanvullende waarborgen treffen. Wat deze aanvullende waarborgen inhouden, is echter nog niet vastgesteld. De European Data Protection Board (EDPB) komt binnenkort met informatie hierover. Deze informatie komt dan ook op de website van de Autoriteit Persoonsgegevens te staan. De EDPB heeft in de tussentijd alvast veelgestelde vragen gepubliceerd, die mogelijk voor iets meer duidelijk kunnen zorgen. We houden de ontwikkelingen op dit gebied voor je in gaten.
Nog geen reden tot paniek
Uiteindelijk heeft deze uitspraak per direct gevolgen voor de praktijk. Elke organisatie die zaken doet met een Amerikaanse leverancier, doet er goed aan om zichzelf de vraag te stellen: ‘is het echt noodzakelijk om persoonsgegevens naar de VS te sturen, of heb ik een Europees alternatief?’ Voor nu is er geen reden tot paniek. Er is bijna géén organisatie te bedenken die niet te maken heeft met gegevensverwerkingen in de VS. Mijn advies is: wees je in ieder geval bewust van de ontwikkelingen omtrent het Privacy Shield en kijk kritisch naar jouw persoonsgegevens die aan een Amerikaanse leverancier verstrekt worden Als je een Europees alternatief hebt, is het beter om daar gebruik van te maken. Ga in gesprek met je leverancier en probeer samen tot een oplossing te komen.
Disclaimer
Dit blog schetst de algemene regels en uitgangspunten. Uiteraard kan er in specifieke situaties sprake zijn van uitzonderingen. Heeft u vragen over dit onderwerp, dan kunt u altijd contact opnemen met een van onze specialisten.
