Martijn Kortier 21 jul. 2020

Privacy Shield ongeldig: is doorgifte persoonsgegevens aan VS nog toegestaan?

Het Europese Hof van Justitie heeft recent het EU-US Privacy Shield ongeldig verklaard. Een juridische basis voor de doorgifte van persoonsgegevens naar in de Verenigde Staten (VS) gevestigde organisaties valt daarmee weg. Verwerkingsverantwoordelijken die persoonsgegevens doorgeven aan of opslaan bij Amerikaanse partijen, moeten daarvoor nu een andere juridische basis gebruiken. Daarnaast heeft het Hof zich over de geldigheid van de modelcontractbepalingen van de Europese Commissie uitgelaten. Deze kunnen in principe wél een geldige juridische basis voor de verstrekking van persoonsgegevens aan derde landen (buiten de Europese Economische Ruimte) zijn.

Doorgifte persoonsgegevens aan derde landen

In de praktijk worden er regelmatig persoonsgegevens van betrokkenen doorgegeven naar in derde landen – buiten de Europese Economische Ruimte (EER) – gevestigde organisaties. Denk bijvoorbeeld aan het verstrekken van persoonsgegevens aan Amerikaanse moederbedrijven, het laten uitvoeren van salarisverwerkingen door Amerikaanse bedrijven of de opslag van persoonsgegevens op de servers van Amerikaanse cloudproviders. De Algemene Verordening Gegevensbescherming (AVG) stelt echter strenge eisen aan de doorgifte van persoonsgegevens naar derde landen.

Persoonsgegevens mogen alleen naar derde landen worden doorgegeven als er een beroep kan worden gedaan op een juridische basis uit de AVG. Op grond van de AVG is dat bijvoorbeeld toegestaan indien:

  • de Europese Commissie voor het betreffende derde land een ‘adequaatheidsbesluit’ heeft genomen dat dit land een passend beschermingsniveau voor de privacy van Europese burgers biedt;
  • er gebruik wordt gemaakt van de modelcontractbepalingen van de Europese Commissie in de contractering met de organisatie in het derde land;
  • de betrokkene – wiens persoonsgegevens worden doorgegeven naar het derde land – daar uitdrukkelijk toestemming voor heeft gegeven. Deze toestemming dient overigens wel aan voorwaarden te voldoen.

EU-US Privacy Shield

Ten aanzien van de VS heeft de Europese Commissie een dergelijk adequaatheidsbesluit genomen. Onder de voorwaarden van het per 12 juli 2016 ingevoerde EU-US Privacy Shield konden verwerkingsverantwoordelijken persoonsgegevens doorgeven aan Amerikaanse partijen. De Europese Commissie meende dat de voorwaarden van het EU-US Privacy Shield een passend beschermingsniveau konden waarborgen. Sindsdien deden partijen in de praktijk regelmatig een beroep op dit Privacy Shield (zie hier een lijst met Amerikaanse organisaties waarnaar doorgifte op grond van dit Privacy Shield mogelijk was).

Het Europese Hof van Justitie zette echter op 16 juli 2020 een streep door het EU-US Privacy Shield. Het Hof overwoog dat, voor het nemen van een adequaatheidsbeslissing ten aanzien van de VS, vereist is dat de VS een vergelijkbaar beschermingsniveau biedt voor de bescherming van de privacy als de EU. De Amerikaanse autoriteiten zijn echter onder meer in het kader van de nationale veiligheid bevoegd tot het uitvoeren van massasurveillances om inlichtingen te vergaren. Dat gebeurt ook bij persoonsgegevens van niet-Amerikanen, zoals betrokkenen uit Europa. De kaders waarbinnen de Amerikaanse autoriteiten dergelijke massasurveillances kunnen uitvoeren zijn volgens het Hof niet in overeenstemming met de minimale Europese vereisten voor de bescherming van privacy. Bovendien oordeelt het Hof dat de betrokkenen hun privacyrechten in de VS onvoldoende kunnen afdwingen. Het Hof concludeert dan ook dat er geen sprake is van een passend beschermingsniveau in de VS en heeft daarom dit Privacy Shield ongeldig verklaard. Het Privacy Shield vormt daardoor niet langer meer een juridische basis voor de doorgifte van persoonsgegevens naar de VS. Dat betekent dat een dergelijke verstrekking zal moeten worden gebaseerd op een andere juridische basis uit de AVG.

Modelcontractbepalingen

Het Hof heeft ook naar de geldigheid van de modelcontractbepalingen (ook wel ‘standard contractual clauses’ genoemd) gekeken. Deze bepalingen zijn volgens het Hof vooralsnog geldig. Het gebruik van dergelijke modelcontractbepalingen betekent echter niet dat er altijd wordt voldaan aan het vereiste van een ‘passend beschermingsniveau’ uit de AVG. De contractspartijen zijn verplicht om vooraf te onderzoeken of het betreffende derde land – waarnaar de persoonsgegevens zullen worden doorgegeven – een passend beschermingsniveau biedt. Zij dienen bij dit onderzoek onder meer het rechtstelsel van het betreffende derde land te betrekken. De contractspartijen dienen immers in staat te zijn om de modelcontractbepalingen na te kunnen leven, zonder dat bijvoorbeeld de autoriteiten van het derde land zich ongehinderd toegang kunnen verschaffen tot de persoonsgegevens. Indien uit dit onderzoek blijkt dat het derde land geen passend beschermingsniveau biedt, dan mogen de persoonsgegevens niet op grond van de modelcontractbepalingen worden doorgegeven naar dit derde land.

Wat betekent dit voor u?

Deze uitspraak van het Hof heeft grote gevolgen voor organisaties die persoonsgegevens doorgeven aan of opslaan bij Amerikaanse partijen op basis van het EU-US Privacy Shield. Zij mogen geen persoonsgegevens meer doorgeven aan de VS. De doorgifte van persoonsgegevens dient nu te worden gebaseerd op een andere juridische basis uit de AVG. Bijvoorbeeld door het gebruik van modelcontractbepalingen of – nadat de betrokkene is ingelicht over de mogelijke privacyrisico’s vanwege het ontbreken van een adequaatheidsbesluit en passende waarborgen – het vragen van uitdrukkelijke toestemming aan de betrokkene die specifiek ziet op de doorgifte van diens persoonsgegevens.

Overigens is het de vraag of de modelcontractbepalingen soelaas bieden. Zoals hiervoor toegelicht zijn de contractspartijen, die dergelijke bepalingen gebruiken, verplicht om vooraf te onderzoeken of derde landen, zoals de VS, een passend beschermingsniveau voor de privacy bieden. Gezien deze uitspraak van het Hof, lijkt het er echter op dat dit niet voor de VS geldt.

Heeft u vragen of wilt u advies over de doorgifte van persoonsgegevens naar derde landen, zoals de VS? Neem dan gerust contact met ons op.

Martijn 1

Meer weten over dit onderwerp of een andere vraag?

Wij plaatsen functionele en analytische cookies. Eventueel kunnen derde partijen tracking cookies plaatsen. U dient daar dan eerst mee akkoord te gaan. Lees meer in onze Privacyverklaring