De AVG bepaalt dat de doorgifte van persoonsgegevens naar een derde land in beginsel slechts kan plaatsvinden indien het derde land een passend beschermingsniveau waarborgt. De bescherming moet in grote lijnen overeenkomen met de bescherming die binnen de Unie wordt geboden, zo oordeelde het Europees Hof in 2015 in Schrems I, waarin de Safe Harbor afspraken ongeldig werden verklaard.
In 2016 maakten de Europese Commissie en de autoriteiten in de Verenigde Staten nieuwe afspraken over de uitwisseling van persoonsgegevens, het Privacy Shield. Volgens de Commissie zou nu wel sprake zijn van een passend beschermingsniveau, mits de ontvangende organisatie in de Verenigde Staten zich zou certificeren voor het Privacy Shield.
Het Europees Hof denkt daar dus anders over.
Bedrijven en organisaties in de Europese Unie die op dit moment persoonsgegevens doorgeven aan organisaties in de Verenigde Staten die Privacy Shield gecertificeerd zijn, hebben twee opties: of zij staken de doorgiften (bijvoorbeeld door het contract te beëindigen of door af te spreken dat de persoonsgegevens voortaan worden opgeslagen en verwerkt in Europese datacenters) of zij zorgen voor een alternatief instrument.
Wat betreft alternatieven ligt het voor de hand gebruik te maken van door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC’s). Uit de uitspraak van het Europees Hof blijkt dat deze SCC’s in algemene zin geldig zijn (in ieder geval de verantwoordelijke-verwerker variant daarvan), al plaatst het Europees Hof ook enkele kanttekeningen en waarschuwingen voor lichtvaardig gebruik. Het blijft dus mogelijk persoonsgegevens door te geven aan organisaties in de Verenigde Staten, maar oplettendheid is meer dan ooit geboden en het is zaak de aanwijzingen van de toezichthouders de komende tijd goed in de gaten te houden.
Vragen?
Wilt u meer weten, neem dan gerust contact op.
Jeroen van Helden, advocaat IT, Privacy & Cybersecurity