Het Hof van Justitie van de Europese Unie heeft het privacy shield tussen de EU en Amerika ongeldig verklaard. Op grond van Amerikaanse wetgeving hebben de inlichtingen- en veiligheidsdiensten het recht om gegevens van EU-burgers in te zien en te gebruiken, ook als het om niet-noodzakelijke gegevens gaat. Dat komt niet overeen met de eisen die gesteld worden via de algemene verordening gegevensbescherming (AVG).
De AVG stelt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan landen buiten de Europese Economische ruimte. Dit mag alleen als in die andere landen ook aan de eisen van de AVG wordt voldaan, óf als er een alternatief, zoals een adequaatheidsbesluit of een modelcontract, bewerkstelligd is.
Door de ongeldigverklaring kunnen Europese organisaties geen persoonsgegevens meer aan de VS doorgeven op grond van het privacyschild. Dat raakt ook goede doelen die gebruik maken van Amerikaanse diensten voor de dagelijkse werkzaamheden. Denk daarbij aan SaaS als MailChimp, CRM-provider Salesforce en sociale netwerken, zoals Facebook en Twitter. Als Nederlandse bedrijven aan de AVG willen blijven voldoen, zullen zij zelf afspraken over privacy moeten maken met de dienstleveranciers.
Volgens het Hof kunnen modelcontracten nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU, mits het beschermingsniveau van de landen gelijkwaardig is, en in de praktijk kan worden gewaarborgd. In haar uitspraak vermeldt het EU Hof van Justitie dat hierbij ook in acht moet worden genomen de mogelijkheden die autoriteiten in het ontvangende land hebben om op basis van lokale wetgeving alsnog toegang te verkrijgen tot de data van EU burgers.
Deel uitspraak EU Hof
Regarding the level of protection required in respect of such a transfer, the Court holds that the requirements laid down for such purposes by the GDPR concerning appropriate safeguards, enforceable rights and effective legal remedies must be interpreted as meaning that data subjects whose personal data are transferred to a third country pursuant to standard data protection clauses must be afforded a level of protection essentially equivalent to that guaranteed within the EU by the GDPR, read in the light of the Charter. In those circumstances, the Court specifies that the assessment of that level of protection must take into consideration both the contractual clauses agreed between the data exporter established in the EU and the recipient of the transfer established in the third country concerned and, as regards any access by the public authorities of that third country to the data transferred, the relevant aspects of the legal system of that third country.
Voor de volledige versie klik je hier.
De European Data Protection Board (EPDB) gaat de praktische gevolgen van de uitspraak in kaart brengen en de eventuele vervolgstappen uitwerken. Op korte termijn komt dat bestuur op zijn minst met begeleiding over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.