Europese Hof van Justitie zet een streep door het Privacy Shield

7 oktober 2020 - Het Hof van Justitie van de Europese Unie heeft het Privacy Shield ongeldig verklaard. Het Privacy Shield was een basis voor het uitwisselen van persoonsgegevens tussen organisaties in de Europese Unie en de Verenigde Staten. Doordat deze overeenkomst door het Hof van Justitie ongeldig is verklaard, is het voor Europese organisaties minder eenvoudig geworden om persoonsgegevens te laten verwerken in de Verenigde Staten.

PERSOONSGEGEVENS

Persoonsgegevens zijn alle gegevens die te herleiden zijn naar een persoon, dit kunnen ook gegevens zijn die gegenereerd worden door het gebruik van een systeem (metadata). Doorgifte van persoonsgegevens, waaronder hosting of andere clouddiensten in Amerika, is niet meer toegestaan. Het Hof van Justitie stelt dat het Privacy Shield in strijd is met de Europese privacywetgeving (Algemene Verordening Gegevensbescherming). De belangrijkste reden hiervoor is dat Amerikaanse inlichtingen- en veiligheidsdiensten op grond van het Privacy Shield vergaande rechten en mogelijkheden hebben om gegevens in te zien en te gebruiken.

 

GEVOLGEN

De ongeldigheidsverklaring van het Privacy Shield heeft ervoor gezorgd dat er geen rechtsgeldige grondslag is voor doorgifte van persoonsgegevens naar Amerika. De SCC, Standard Contractual Clause, blijft wel een rechtsgeldig mechanisme. Wel is het hierbij van belang dat getoetst wordt of de SCC in uw specifieke situatie een ‘passend beschermingsniveau’ biedt. Houd er rekening mee dat u aanvullende maatregelen treft om de privacybescherming te waarborgen. Neem hierbij in ogenschouw dat u als verantwoordelijke organisatie voldoende instrumenten tot uw beschikking heeft om vast te stellen dat de maatregelen worden nageleefd. Het is duidelijk dat er na afkeuring van het Privacy Shield iets moet gebeuren. Welke gevolgen heeft dit voor uw organisatie?

Door de afkeuring van het Privacy Shield kunt u mogelijk uw veelgebruikte dienst niet meer afnemen van een Amerikaanse organisatie. U kunt hierbij denken aan diensten met betrekking tot hostingdiensten, (online) nieuwsbrieven, e-maildiensten, social media monitoring tools en beoordelingssites die klanten de mogelijkheid bieden om hun ervaring te delen. Het ongeldig verklaren van het Privacy Shield noodzaakt u als organisatie om uw datastrategie kritisch tegen het licht te houden. Hierdoor blijft u voldoen aan de regelgeving en benadeelt u uw klanten, afnemers en andere belanghebbenden niet. 

Het is uw verantwoordelijkheid om de contractuele clausules te toetsen aan het gewenste beschermingsniveau. Wanneer u tot de conclusie komt dat dit niet het geval is, moet u de datadoorgifte aan de Verenigde Staten opschorten of beëindigen. Indien u toch de doorgifte wilt laten bestaan, dient u de toezichthoudende autoriteit op de hoogte te houden.

Momenteel bestaat er nog veel onduidelijkheid over de precieze gevolgen. Wij volgen de ontwikkelingen op de voet.

MAZARS KAN U HELPEN

Mazars heeft meer dan 20 jaar ervaring met privacyvraagstukken en heeft veel organisaties, zowel nationaal als internationaal, van advies voorzien. Wij kunnen u ondersteunen bij het inventariseren, identificeren en isoleren van uw huidige datagebruik en toekomstige databehoefte. Wij adviseren u graag over de stappen die u dient te nemen, zodat de persoonlijke gegevens van uw klanten blijven voldoen aan de richtlijnen van de AVG.  

 

MEER WETEN?

Wilt u graag meer weten? Neem dan contact op met Jan Matto, partner IT Audit & Advisory, per e-mail of per telefoon: +31 (0)88 277 13 99  of met Gerard Seedorf, senior manager IT Audit & Advisory, per e-mail of per telefoon: +31 (0)88 277 15 10. Zij helpen u graag verder.