HET nieuws van het afgelopen kwartaal was natuurlijk de uitspraak van het Europese Hof van Justitie op 16 juli jl. in de zogenaamde Schrems 2 zaak. Kort gezegd verklaarde het EvJ het privacy Shield ongeldig. Dat betekent dat het uitwisselen van persoonsgegevens met de V.S. niet voldoet aan de Europese privacy bescherming.
Hoe zit het ook al weer met doorgifte van persoonsgegevens?
Binnen de Europese Economische Ruimte (EER), alle landen van de Europese Unie en de landen Noorwegen, Liechtenstein, Zwitserland en IJsland., kunnen persoonsgegevens veilig uitgewisseld dankzij de AVG.
Buiten de EER geldt de AVG niet maar geeft ze wel een aantal andere mogelijkheden om toch persoonsgegevens veilig door te kunnen geven.
Allereerst zogenaamde “corporate binding rules”. Een concern of groepering van ondernemingen die een gezamenlijke economische activiteit beoefenen, kunnen een binnen het bedrijf bindend beleid opstellen voor het uitwisselen van persoonsgegevens.
Ook aansluiting bij een gedragscode of certificeringsmechanisme, samen met het verkrijgen van bindende en afdwingbare toezeggingen van de ontvanger om passende waarborgen toe te passen om de overgedragen gegevens te beschermen, kan er voor zorgen dat je persoonsgegevens buiten de EER mag brengen.
Daarnaast zijn er nog 2 mogelijkheden, en deze stonden ter discussie in de Schrems 2 zaak.
Allereerst kan er een zogenaamd adequaatheidsbesluit genomen worden. De Europese Commissie kan besluiten dat een land een passend beschermingsniveau heeft. Dat betekent dat je persoonsgegevens over mag dragen aan een bedrijf dat in een dergelijk land is gevestigd. Het land wordt als het ware gelijkgesteld met de landen in de EER. Het Privacy Shield is een dergelijk adequaatheidsbeginsel.
Ook contractuele regelingen met de ontvanger van de persoonsgegevens, die bijvoorbeeld gebruikmaakt van de standaardcontractbepalingen (standard contractual clauses (SCC’s) die door de Europese Commissie zijn goedgekeurd, maakt uitwisseling mogelijk.
Als laatste mag je als er geen adequaatheidsbesluit of standaard contract is, persoonsgegevens ook overdragen als de persoons bijvoorbeeld uitdrukkelijk heeft ingestemd met de overdracht nadat hij alle nodige informatie over de risico’s daarvan heeft ontvangen.
In het Schrems 2 arrest oordeelt het EvJ dat het adequaatheidsbesluit, het Privacy Shield, ongeldig is. Daarmee biedt dit dus geen oplossing meer om persoonsgegevens naar de V.S. te transporteren.
Over standaard contractbepalingen heeft het EvJ opgemerkt dat ze weliswaar nog steeds rechtsgeldig zijn maar de gegevens transporteur moet nagaan bij de Amerikaanse verwerker of de juiste beschermingsmaatregelen gehanteerd worden. Daarbij moet gelet worden op:
- de eerbiediging van mensenrechten
- de toegang van overheidsinstanties tot persoonsgegevens
- waarborging van de rechten van betrokkenen
- het bestaan van een onafhankelijke toezichthoudende autoriteit
Waar wringt de schoen?
De naam van het arrest, Schrems 2, geeft al aan dat er ook een Schrems 1 is, en dat klopt. Oostenrijkse privacy activist Maximiliaan Schrems spande al eerder een rechtszaak aan tegen het adquaatheidsbesluit van de V.S. In 2015 werd in Schrems 1 het adequaatheidsbesluit, toen met de fraaie naam “Safe Harbour”, ook al ongeldig verklaard.
Na het ongeldig verklaren van Safe Harbour werd het besluit voorzien met een mooi laagje make-up en als Privacy Shield opnieuw gelanceerd. In de kern veranderde er echter niets. En omdat Schrems ook niet opgaf kwam de ongeldig verklaring van het Privacy Shield dan ookniet als een verrassing.
De schoen wringt met name in de zogenaamde surveillance, de mate en voorwaarden waar onder opsporingsdiensten toegang tot persoonsgegevens hebben. De mogelijkheden zijn in de V.S. veel ruimer dan dat in Europa onder de AVG.
Europese Commissie en het Department of Commerce in de VS hebben in augustus aangekondigd opnieuw te gaan kijken naar een mogelijk aangepast Privacy Shield dat voldoet aan het Schrems 2 arrest. In de tussentijd heeft het U.S. Department of Commerce een whitepaper gepubliceerd over de toepassing van de Standard Contractual Clauses.
Laten we hopen dat er geen Schrems 3 nodig is.
