013 - 536 65 55 info@kzoadvocaten.nl

Breaking news: EU-US Privacy Shield ongeldig verklaard

 

In 2015 werd de voorganger van het EU-US Privacy Shield, het Safe Harbor-program, ongeldig verklaard. Probleem, want dat betekende dat uitwisseling van persoonsgegevens met de VS een stuk ingewikkelder werd. Safe Harbor werd vlot opgevolgd door het EU-US Privacy Shield. Dat is een set regels, opgesteld door het Amerikaanse ministerie van Handel, over hoe om te gaan persoonsgegevens. Doel van zowel Safe Habor als het Privacy Shield was: voldoen aan de hoge lat van de Europese privacyregels (thans: AVG / GDPR), zodat Amerikaanse bedrijven zonder veel gedoe gegevens kunnen uitwisselen met Europese bedrijven.

In juli 2016 accordeerde de Europese Commissie het EU-US Privacy Shield. En al doende leek alles een aantal jaren OK te zijn. Veelgebruikte Amerikaanse diensten, zoals Google Analytics, verwezen naar hun Privacy Shield-certificering en drukten gebruikers op het hart dat ze dus aan de AVG voldeden.

Op de achtergrond werd er de afgelopen jaren echter doorgeprocedeerd bij het Europese Hof van Justitie. Op 16 juli 2020 deed het Hof uitspraak en zette een streep door het Privacy Shield. Volgens het Hof geeft ook een Privacy Shield-certificering niet een beschermingsniveau op een gelijk niveau met de AVG / GDPR. Het Hof deed deze uitspraak overigens in de directe opvolger van de rechtszaak die eerder leidde tot het einde van Safe Harbor. Dat was namelijk de zaak Schrems/Facebook I. De zaak van 16 juli 2020 betreft Schrems/Facebook II.

Gevolg: uitwisselingen van persoonsgegevens met de VS kan niet meer rechtsgeldig gebeuren over de boeg van het EU-US Privacy Shield. Er zal dus door veel bedrijven een andere juridische oplossing gevonden moeten worden, in ieder geval tot het moment dat er een opvolger van het Privacy Shield is. De AVG / GDPR geeft overigens ook diverse andere mogelijkheden. Een goed geformuleerde uitdrukkelijke toestemming van de betrokkene kan zelfs al voldoende zijn.

Let wel: dit alles heeft dus niet alleen gevolgen voor Amerikaanse bedrijven, maar beslist ook voor Nederlandse bedrijven. Immers, als u als Nederlands bedrijf gebruik maakt een Amerikaanse cloud-dienst (of een IT-dienst die op zijn beurt gegevens uitwisselt met of opslaat in de VS) dan moet u er richting uw klanten en relaties voor in staan dat daarbij de regels van de AVG netjes worden nageleefd.  Met andere woorden: dat hun gegevens daar veilig zijn. U kunt u dus niet verschuilen achter een opmerking als “ik dacht dat google/facebook/microsoft dat goed geregeld heeft”.

Al met al zal de zaak Schrems/Facebook II het nodige stof doen opwaaien. Veel bedrijven zullen aan de bak moeten om weer compliant te worden met de AVG. Wordt vervolgd dus.

 

Tilburg, 17 juli 2020

Edwin Aerts

KZO|013 Advocaten

EU-US Privacy Shield ongeldig

STEL EEN VRAAG AAN EEN ADVOCAAT

advocaat tilburg

Spoorlaan 460
Postbus 9150
5000 HD Tilburg

T 013 - 536 65 55
F 013 - 536 84 20
E info@kzoadvocaten.nl

Social media

Je kunt ons ook volgen op de normale social media kanalen:

echtscheidingsadvocaat

NIEUWSBRIEF

Meld je aan voor onze online nieuwsbrief en blijf op de hoogte van de laatste ontwikkelingen.