Op grond van de AVG is het verboden om persoonsgegevens vanuit de EU naar landen buiten de EU te verplaatsen. Op dat verbod bestaan een aantal uitzonderingen. Tussen de EU en de VS is de Privacy Shield-overeenkomst gesloten. Daarin staan afspraken over de bescherming van persoonsgegevens. Amerikaanse bedrijven kunnen zich vrijwillig aansluiten bij het Privacy Shield. Als zij dat doen, dan mogen persoonsgegevens vanuit de EU naar die bedrijven worden verstuurd. Honderden Amerikaanse bedrijven hebben dat inmiddels gedaan.

De Privacy Shield-regeling houdt onder meer in dat het Amerikaanse ministerie van Economische Zaken een ombudsman moet aanstellen die klachten van Europese burgers in behandeling neemt. Tot op heden is dat echter nog niet gebeurd. Daarnaast bestaan er algemene zorgen over de handhaving van het instrument, mede in het licht van het Facebook-Cambridge Analytica schandaal, twee bedrijven die Privacy Shield-gecertificeerd zijn/waren. Ook bestaan er zorgen over de Amerikaanse CLOUD Act, een wet die mogelijk conflicteert met de AVG.

Begin juli nam het Europees Parlement al een resolutie aan waarin werd gedreigd met opschorting van het Privacy Shield. In een brief aan de Amerikaanse minister van Economische Zaken laat EU-commissaris Vera Jourova (Justitie en Consumentenrechten) nu weten dat de VS tot uiterlijk oktober heeft om de ombudsman aan te stellen, zo meldt de Financial Times.

Mocht het Privacy Shield worden stopgezet, dan leidt dat mogelijk tot een chaotische situatie. Veel van de gecertificeerde bedrijven leunen nu uitsluitend op het Privacy Shield om persoonsgegevens naar de VS over te brengen. Bij opschorting van het Privacy Shield zullen zij die overdracht halsoverkop op een andere uitzondering moeten kunnen baseren. Bijvoorbeeld door gebruik te maken van de door de Europese Commissie vastgestelde modelcontractbepalingen.

Vragen?

Heeft u nog vragen, neemt u dan contact op met Jeroen van Helden, Advocaat IT, Privacy & Cybersecurity