Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Schrems II: Europees Hof torpedeert Privacy Shield

Jeroen van Helden

20 juli 2020 - 2 minuten leestijd

Het hing in de lucht na de conclusie van A-G Saugmandsgaard in december vorig jaar, maar nu is het officieel. De doorgifte van persoonsgegevens vanuit de Europese Unie naar organisaties in de Verenigde Staten mag niet gebaseerd worden op het Privacy Shield instrument, aldus de hoogste rechterlijke instelling van de Europese Unie. Wat betekent dit?

De AVG bepaalt dat de doorgifte van persoonsgegevens naar een derde land in beginsel slechts kan plaatsvinden indien het derde land een passend beschermingsniveau waarborgt. De bescherming moet in grote lijnen overeenkomen met de bescherming die binnen de Unie wordt geboden, zo oordeelde het Europees Hof in 2015 in Schrems I, waarin de Safe Harbor afspraken ongeldig werden verklaard.

In 2016 maakten de Europese Commissie en de autoriteiten in de Verenigde Staten nieuwe afspraken over de uitwisseling van persoonsgegevens, het Privacy Shield. Volgens de Commissie zou nu wel sprake zijn van een passend beschermingsniveau, mits de ontvangende organisatie in de Verenigde Staten zich zou certificeren voor het Privacy Shield.

Het Europees Hof denkt daar dus anders over.

Bedrijven en organisaties in de Europese Unie die op dit moment persoonsgegevens doorgeven aan organisaties in de Verenigde Staten die Privacy Shield gecertificeerd zijn, hebben twee opties: of zij staken de doorgiften (bijvoorbeeld door het contract te beëindigen of door af te spreken dat de persoonsgegevens voortaan worden opgeslagen en verwerkt in Europese datacenters) of zij zorgen voor een alternatief instrument.

Wat betreft alternatieven ligt het voor de hand gebruik te maken van door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC’s). Uit de uitspraak van het Europees Hof blijkt dat deze SCC’s geldig zijn (in ieder geval de verantwoordelijke-verwerker variant daarvan), al plaatst het Europees Hof ook enkele kanttekeningen en waarschuwingen voor lichtvaardig gebruik. Het blijft dus mogelijk persoonsgegevens door te geven aan organisaties in de Verenigde Staten, maar oplettendheid is geboden.

Wilt u meer weten, neem dan gerust contact op.

Jeroen van Helden, advocaat IT, IE & Privacy

Ook interessant?