De Algemene verordening gegevensbescherming (AVG) stelt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte (derde landen) zoals de VS. Omdat het Hof van Justitie (het Hof) van de Europese Unie (EU) op 20 juli 2020 het EU-VS Privacy Shield (privacyschild) ongeldig heeft verklaard in de zaak Schrems II, mogen organisaties in de EU geen persoonsgegevens meer aan de Verenigde Staten (VS) doorgeven onder bescherming van het Privacy Shield. De voorganger van het Privacy Shield, het Safe Harbor-verdrag was reeds eerder door het Hof van Justitie van de Europese Unie buitenwerking gesteld (1).
Anders dan bij het buitenwerking stellen van Safe-Harbor (de voorloper van het Privacy Shield) is er door het Hof geen overgangsperiode toegestaan totdat er een werkbare oplossing is gevonden ter vervanging van het Privacy Shield. De uitspraak is direct (vanaf 20 juli 2020) van kracht. Sinds half augustus 2020 onderhandelen de EU en de VS over de opvolging van het Privacy Shield. In de onderhandelingen zal worden onderzocht of er potentieel aanwezig is om te komen tot een verbeterd Privacy Shield waar dan ook de verbeterde SCC’s weer als alternatief een rol kunnen spelen. De toezichthouder heeft laten weten dat de overkoepelende organisatie van toezichthouders in de EU, de European Data Protection Board (EDPB) bekijkt wat de praktische gevolgen van de uitspraak zijn. Het is de bedoeling dat de EDPB op korte termijn met guidance over aanvullende maatregelen komt die organisaties kunnen (of moeten) opnemen in de SCC’s.
Op moment zitten we praktisch gezien in een moeilijke situatie als het gaat om verwerking van privacygevoelige data buiten de EU. In een update van Eurocommissaris Didier Reynders aan het Europese Parlement op 3 september j.l. benadrukt hij nog eens dat ‘protection must travel with the data’. Die uitspraak laat weinig aan de verbeelding over.
De EDPB (2) benadrukt in hun FAQ van Juli 2020 dat SCC’s (3) niet ongeldig zijn verklaard door de uitspraak van het Hof. Ook BCR’s (4) zijn technisch nog steeds beschikbaar. De vraag is echter of die nog als passend alternatief gehanteerd kunnen worden in de huidige vorm. Op dit moment is de Nederlandse AP nog niet aan het handhaven en heeft voor zover wij dat kunnen achterhalen, ook nog geen concrete instructie gegeven aan bedrijven om de doorgifte van persoonsgegevens met de VS te staken. Hierin neemt de Nederlandse AP dus, ondanks de duidelijke uitspraak van het Hof, een minder rigoureus standpunt in dan bijvoorbeeld de AP van Ierland. Mogelijk is dat te danken aan het vacuüm waar we ons nu in bevinden.
Volgens onderzoek van International Association of Privacy Professionals (IAPP) maakt bijna 90 procent van de organisaties die data delen buiten de EU gebruik van SCC’s. Bij de beoordeling van SCC’s is door het Hof vastgesteld dat ook daar risico’s zijn geconstateerd, met name inzake de (deugdelijke) aantoonbaarheid. Enkel de belofte van betrokken bedrijven in de SCC’s om zich aan de regels van de AVG (GDPR) te houden is niet voldoende volgens het Hof.
Wie nu data deelt of gaat delen op grond van de huidige SCC’s moet binnen de mogelijkheden en op basis van een analyse van het rechtssysteem in het land van bestemming verifiëren of de ontvangende partij de afspraken in de SCC’s daadwerkelijk kan nakomen. Óf dat de ontvangende partij kan aantonen dat de verwerking een gelijke bescherming heeft als binnen de EU. Dit lijkt een lastige of zo niet onmogelijke opgave voor organisaties, maar de redding lijkt echter nabij als we Didier Reynders mogen geloven; hij gaf tijdens zijn eerder genoemde update in september aan dat wordt gestreefd naar de oplevering van aangepasten SCC’s voor het einde van dit jaar, waarbij de EDPB nog een opinie zal moeten geven. In de tussenliggende periode kunt u wel vast uw risico’s in kaart brengen;
Toets de papierenafspraken die u met verwerkers heeft gemaakt.
(1) Max Schrems vs Facebook, uitspraak van het Europese Hof van Justitie 2015
(2) European Data Protection Board
(3) Standard contractual clauses of model contracten
(4) Binding Corporate Rules
