Print:

EU/VS-Privacy Shield op de schroothoop

Peter van Schelven , Adviseur ICT & Recht

LinkedIn profiel

Het is inmiddels voorpaginanieuws: de Europese rechter heeft gehakt gemaakt van het Privacy Shield, de regeling die de doorgifte van persoonsgegevens vanuit de Europese Unie (EU) naar bedrijven en organisaties in de Verenigde Staten (VS) normeert. Het Hof van Justitie in Luxemburg heeft in een uitspraak die aan duidelijkheid weinig te wensen overlaat, een dikke streep gezet door de zegen die de Europese Commissie in 2016 aan het Privacy Shield heeft gegeven. De mogelijkheden voor EU-burgers om onder deze regeling hun rechten op het gebied van dataprotectie te waarborgen zijn niet voldoende, aldus de rechter in deze zogeheten Schrems-II zaak. Met zijn beslissing bezorgt de hoogste Europese rechter de Europese Commissie een regelrechte afgang. Het besluit van de Europese Commissie dat het Privacy Shield wél adequate bescherming biedt bij de doorgifte van persoonsgegevens naar de VS, is – zo oordeelde de rechter – nietig.

Burgers van wie persoonsgegevens vanuit de EU naar de VS worden doorgegeven, kunnen in zekere zin tevreden zijn. Overduidelijk staat de Europese rechter voor een veel sterkere trans-Atlantische privacybescherming dan de Europese Commissie. Uiteraard valt nog wel te bezien of de uitspraak feitelijk iets gaat veranderen aan de immense omvang van het dataverkeer met bedrijven in de VS. Gaat er 1 bit minder de oceaan over?

Voor de talloze bedrijven en organisaties in de EU die hun dataprotectie-beleid hebben ingericht op basis van het Privacy Shield, pakt de rechterlijke beslissing echter dramatisch uit. Het (naïeve?) vertrouwen dat zij kennelijk in het Privacy Shield hadden blijkt nu dus misplaatst te zijn. De doorgifte van persoonsgegevens naar een partij in de VS wordt al snel onrechtmatig. Massale schendingen van de Algemene Verordening Gegevensbescherming (AVG) dienen zich aan. Daarmee stort de rechterlijke uitspraak een groot deel van het Europese bedrijfsleven in grote rechtsonzekerheid. Dat is geen vrolijke gedachte.

Europese modelcontracten

Hoe nu verder? Bedrijven en organisaties die tot voor kort het Privacy Shield omarmden, zullen voor hun trans-Atlantische dataverkeer thans de inzet van andere juridische instrumenten moeten overwegen. Een van die instrumenten is het gebruik van een van de drie modelcontracten (inzake privacybescherming) waaraan de Europese Commissie enige jaren terug haar goedkeuring heeft gegeven. Maar aan die aanpak zitten nogal wat haken en ogen. Zo ontbreekt een Europees modelcontract voor de verhouding tussen verwerkers en subverwerkers. En – niet minder belangrijk – de goedgekeurde modelcontracten stammen nog uit de tijd van vóór de AVG. Nieuwe, meer specifiek op de AVG afgestemde modelcontracten laten al enige tijd op zich wachten. Wie in het dataverkeer met partijen in de VS nu overweegt te gaan varen op het kompas van de thans beschikbare modelcontracten, moet er rekening mee houden dat ook dat slechts een tijdelijke oplossing is. Die afweging is dus geen sinecure.

Binding Corporate Rules

Voor bedrijven in de EU waarvan het moeder- of zusterbedrijf in de VS zit, is er onder de AVG ook nog een ander instrument om de doorgifte in eigen concern te regelen: de zogeheten Binding Corporate Rules (BCR). Een zwaar middel dat nu slechts door enkele tientallen, overwegend grotere bedrijven in de EU gebruikt wordt. BCR is voor kleinere organisaties eenvoudigweg een te zwaar middel, dat bovendien alleen gebruikt kan worden na instemming van de toezichthouders. Die instemming kan niet van de een op andere dag verkregen worden.

Kortom, de uitspraak van het Hof van Justitie schept nieuwe kopzorgen. Het Privacy Shield is naar de juridische schroothoop afgevoerd. Dus: werk aan de winkel …  voor iedereen die met grensoverschrijdend gegevensverkeer te maken heeft.

Nieuwsgierig naar de andere actualiteiten op privacy gebied? Op 17 september vindt het Dataprotectie & Privacy Congres plaats. Een actualiteitendag met aanvullend een online praktijkreeks Data Governance. Van 22 experts hoort u ins & outs over datagedreven werken en hoe u kunt profiteren van data, technologie en data-ethiek.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.