Een streep door het EU-VS Privacy Shield: gevolgen voor de doorgifte van persoonsgegevens naar organisaties in de VS

Het EU-VS Privacy Shield is ongeldig. Dat heeft het Hof van Justitie van de Europese Unie op 16 juli 2020 bepaald. Organisaties in de EU kunnen daarom op grond van deze regeling geen persoonsgegevens meer aan de Verenigde Staten doorgeven.

Wat is het Privacy Shield?

Persoonsgegevens mogen op grond van de AVG alleen vanuit de EU naar een derde land worden doorgegeven als dat land een passend beschermingsniveau waarborgt. Doordat de VS geen passend beschermingsniveau waarborgt, heeft de Europese Commissie in het verleden het Privacy Shield tot stand gebracht. Indien een organisatie in de VS zich committeerde aan deze regeling, mochten persoonsgegevens van Europese betrokkenen worden doorgegeven aan organisaties in de VS.

Privacy Shield ongeldig

Het Hof stelt dat in het Privacy Shield de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben op de bepalingen uit de AVG en het Handvest van de EU. Het Hof verwijst hiervoor mede naar het feit dat Amerikaanse overheidsinstanties door middel van surveillanceprogramma’s toegang kunnen krijgen tot persoonsgegevens van Europese burgers, ook als dat niet noodzakelijk is. Daarnaast hebben betrokkenen geen afdwingbare rechten tegenover Amerikaanse autoriteiten en biedt de ombudsman tevens onvoldoende waarborgen.

Het Hof concludeert daarom dat het Privacy Shield ongeldig is. De Europese Commissie dient nu met een nieuwe regeling te komen omtrent de doorgifte van persoonsgegevens vanuit de EU naar de VS.

Modelcontracten

Het Hof oordeelt verder dat persoonsgegevens wel mogen worden doorgegeven op basis van door de Europese Commissie opgestelde standaardbepalingen die u in uw overeenkomst met uw Amerikaanse handelspartner opneemt. Daarbij is echter wel vereist dat de Amerikaanse wet uw Amerikaanse contractspartner toestaat zich te houden aan de bepalingen van het modelcontract. Gezien het oordeel van het Hof over het Amerikaanse rechtssysteem is het maar de vraag of Amerikaanse ondernemingen de bepalingen uit de modelcontracten kunnen naleven en mogen hanteren. De doorgifte op basis van modelcontracten is door deze uitspraak van het Hof dus tevens onzeker geworden.

Wat nu?

Indien uw organisatie persoonsgegevens op basis van het Privacy Shield doorgeeft aan organisaties in de VS dient u sowieso actie te ondernemen door een alternatieve regeling op te nemen in documentatie zoals (verwerkers)overeenkomsten, privacy statement, intern privacy beleid en verwerkingsregister. Maar ook als u standaardbepalingen hanteert is het raadzaam om een van de volgende acties te ondernemen:

  • Uitdrukkelijke toestemming vragen aan betrokkenen om hun gegevens met partijen in de VS te delen. U dient hierbij de betrokkenen te informeren over de risico’s van een dergelijke doorgifte; of
  • Een verwerker zoeken die gevestigd is in de EU in plaats van de VS.

Indien u vragen heeft over de gevolgen van deze uitspraak voor uw organisatie of indien u uw documentatie wenst aan te passen, neem dan gerust contact met ons op.