Mag ik nog persoonsgegevens uitwisselen met een bedrijf uit de Verenigde Staten nu het EU-US Privacy Shield niet meer geldig is?

Dat is een vraag die veel Europese bedrijven momenteel bezig houdt. Ruim een week geleden werd het Privacy Shield ongeldig verklaard door het Hof van Justitie van de Europese Unie. In het Privacy Shield zijn afspraken vastgelegd met betrekking tot een veilige uitwisseling van persoonsgegevens tussen de EU-US, waaraan het bedrijfsleven zich dient te conformeren. In dit blog gaan we in op wat er precies is gebeurd, waarom dit belangrijk kan zijn voor jouw bedrijf en hoe hiermee om te gaan.

Wat is er gebeurd?

Het Hof van Justitie oordeelde op 16 juli 2020 dat het EU-US Privacy Shield nietig is verklaard. Dit betekent dat wanneer een Europees bedrijf zaken wilt doen met een bedrijf dat persoonsgegevens verwerkt in de Verenigde Staten, het niet meer terug kan vallen op de afspraken die zijn vastgelegd in dit verdrag. De belangrijkste reden voor het nietig verklaren van het EU-US Privacy Shield is dat de Amerikaanse wetgeving (denk o.a. aan The Patriot Act en The Stored Communications Act)  surveillance toestaat en daarmee haaks kan staan op de bescherming van persoonsgegevens van niet-Amerikanen, aldus Het Hof. Dit is in strijd met de Algemene Verordening Gegevensbescherming, de Europese privacy wet welke sinds 25 mei 2018 wordt gehandhaafd.

Het is niet de eerste keer dat een dergelijk verdrag nietig wordt verklaard. In 2015 werd de voorloper van het Privacy Shield, het Safe Harbor verdrag ook al nietig verklaard door het Europese Hof, vanwege dezelfde conflicterende surveillance wetgeving binnen de VS.

Waarom is dit belangrijk?

Meer dan 5300 bedrijven uit de VS nemen actief deel aan de gemaakte afspraken uit het Privacy Shield. Nog eens duizenden Europese bedrijven welke zaken doen met deze Amerikaanse bedrijven waren tot 16 juli 2020 afhankelijk van dit verdrag. Zij zullen op zoek moeten naar andere passende waarborgen waarmee een veilige uitwisseling van persoonsgegevens kan worden geborgen.

Hoe nu verder?

Je kunt het zien als een echtscheiding, waarbij de afspraken tussen de EU en de VS eenzijdig worden opgezegd door de EU. De bal ligt nu dan ook bij de Europese Commissie om samen met de betreffende autoriteiten in de VS te onderzoeken of het mogelijk is om tot een nieuw en verbeterd verdrag te komen. Wat we wel weten is dat bij een eerdere afwijzing van het Safe Harbor verdrag, de toezichthoudende autoriteiten het standpunt innamen dat de gemaakte afspraken uit Safe Harbor geldig bleven, totdat er overeenstemming zou zijn over een verbeterde versie (Privacy Shield). Een dergelijke uitspraak ligt nu ook in de lijn der verwachting.

Ondertussen kunnen bedrijven nog wel terugvallen op de standaard contractuele bepalingen (SCC’s), zoals vastgelegd door de Europese Commissie. Deze bepalingen zijn hier terug te vinden en bieden een template voor het afsluiten van een verwerkers overeenkomst waarmee een bedrijf passende afspraken kan vastleggen voor een rechtsgeldige verwerking van persoonsgegevens in de Verenigde Staten. Hoewel het Hof heeft geoordeeld dat deze SCC’s geldig blijven, speelt de Amerikaanse surveillance wetgeving ook hierbij een beperkende factor, waardoor het in de praktijk meestal geen stand kan houden. Zodra een Amerikaans bedrijf onder deze wetgeving valt, kunnen de SCC’s namelijk niet gebruikt worden.

Het laatste woord is dus nog niet gesproken over dit onderwerp en wij houden de ontwikkelingen rondom privacy wetgeving nauw in de gaten. Houd daarom ook onze blog pagina goed in de gaten via www.solimas.nl, zodat je op de hoogte blijft van de laatste ontwikkelingen op het gebied van cybersecurity & privacy.

Meer weten?

Neem contact met ons op voor een vrijblijvende kennismaking waarin we je meer vertellen over de implicaties van de AVG.

Contact