Search
Close this search box.
mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Privacy Shield ongeldig: wat zijn de mogelijke gevolgen?

De afgelopen maanden werd de gemiddelde privacy-expert overspoeld met vragen van ongeruste ondernemers. Dit heeft alles te maken met een beslissing van de hoogste Europese rechter, het Hof van Justitie van de Europese Unie (EU). In Schrems-II werd het Privacy Shield-verdrag tussen de EU en de Verenigde Staten beoordeeld. Het Privacy Shield zag het levenslicht in 2016 nadat haar voorganger – de zogenaamde Safe Harbour beschikking – in 2015 ongeldig werd verklaard. Met het Privacy Shield konden ondernemingen zichzelf certificeren en een ‘passend beschermingsniveau’ bieden voor de doorgifte van persoonsgegevens naar de VS. Het Hof heeft het Privacy Shield nu ongeldig verklaard. Waarom eigenlijk? Daar kom je in deze blog achter. Ook komen de mogelijke gevolgen voor ondernemers aan bod.

AVG: doorgifte van gegevens buiten de EU

Volgens de Algemene Verordening Gegevensbescherming (AVG) mogen persoonsgegevens – gegevens die herleidbaar zijn tot een persoon – niet zomaar worden doorgegeven naar landen buiten de Europese Unie (derde landen). De VS is een voorbeeld van zo’n derde land. Doorgifte is alleen toegestaan wanneer het beschermingsniveau van de AVG niet wordt ondermijnd. De AVG noemt verschillende manieren waarop aan deze voorwaarde kan worden voldaan. Twee hiervan spelen een rol in de Schrems-II-zaak:

  • doorgifte op basis van een adequaatheidsbesluit (in dit geval: het Privacy Shield-verdrag tussen de EU en de VS);
  • doorgifte op basis van modelcontracten (ook wel standaardbepalingen, standard contractual clauses of SCC’s genoemd).

Uitspraak Europees Hof

Privacy-activist Max Schrems procedeerde met zijn organisatie NOYB (None Of Your Business) tegen datadoorgifte door Facebook naar de VS. Uiteindelijk belandde de zaak bij het Europees Hof, dat op 16 juli 2020 oordeelde dat het Privacy Shield onvoldoende bescherming biedt. Dit ligt vooral aan de Amerikaanse surveillancewetgeving, waaruit blijkt dat inlichtingen- en veiligheidsdiensten persoonsgegevens mogen inzien en gebruiken. Hierbij is géén sprake van een beperking tot het strikt noodzakelijke. Bovendien krijgen EU-burgers onvoldoende bescherming wanneer zij een klacht hebben over de verwerking van hun persoonsgegevens in de VS.

In tegenstelling tot het Privacy Shield zouden modelcontracten wel degelijk uitkomst kunnen bieden bij doorgifte van persoonsgegevens van de EU naar de VS. Het Europees Hof heeft het mechanisme van de SCC’s namelijk niet ongeldig verklaard. Maar als belangrijke voorwaarde om je op de SCC’s te kunnen beroepen, stelt het Europees Hof dat een gelijkwaardig beschermingsniveau moet worden gewaarborgd. De verzender van de persoonsgegevens dient er dus voor te waken dat de rechten van betrokkenen onder de AVG zorgvuldig beschermd worden. Feitelijk gezien betekent dit dat men zich in heel veel gevallen niet (!) kan beroepen op de SCC’s, omdat een gelijkwaardig beschermingsniveau niet kan worden gewaarborgd vanwege de Amerikaanse surveillancewetgeving.

Wat betekent Schrems-II concreet voor ondernemers in de EU?

Duidelijk is in ieder geval dat ondernemers geen persoonsgegevens meer kunnen doorgeven op basis van het Privacy Shield. Dit betekent om te beginnen dat je jouw privacyverklaring moet aanpassen. De precieze gevolgen van de uitspraak en nadere invulling van de modelcontracten zijn echter nog volop in ontwikkeling. Het is daarom belangrijk om de website van de Autoriteit Persoonsgegevens en de EDBD goed in de gaten te houden. Ondernemers die persoonsgegevens doorgeven naar de VS doen er in ieder geval goed aan om niet af te wachten, maar in actie te komen. Ga eens kijken naar Europese alternatieven en maak alvast de overstap (of bereid je hier in ieder geval op voor).

Krijg ik een boete als ik gebruik blijf maken van Amerikaanse leveranciers?

Wij verwachten niet dat er direct een boete op je deurmat valt als je gebruik blijft maken van Amerikaanse leveranciers (en bijbehorende diensten) zoals Mailchimp, Hubspot, Google Analytics, Facebook, Gmail, Microsoft, Cloudinary, enzovoorts. In de praktijk maken Europese bedrijven massaal gebruik van dergelijke diensten en zijn we dus eigenlijk met zijn allen “illegaal” bezig. In theorie zou je wel degelijk een boete kunnen ontvangen, want er is geen overgangsperiode voor deze uitspraak.

Meer weten over de Schrems II uitspraak? Neem gerust contact met ons op.

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).