De Schrems II-zaak: wat is er gebeurd?
Op 16 juli heeft het Hof van Justitie van de Europese Unie een uitspraak gedaan in de Schrems II-zaak, waarin Max Schrems opnieuw klaagde over doorgifte van zijn gegevens naar de Verenigde Staten. Als gevolg is onder andere het Privacy Shield per direct ongeldig. We lichten toe wat er gebeurd is in deze rechtszaak. Wisselt jouw organisatie gegevens uit met een partij in de VS? Dan hebben we een stappenplan voor jou opgesteld zodat je Avg-proof kunt blijven.
Lees hier een update van februari 2022.
De aanklacht
Volgens Maximillian Schrems mocht Facebook zijn persoonsgegevens niet doorgeven naar de VS, omdat daar onvoldoende bescherming is tegen de toegang door de overheid tot de gegevens. De klachten van Schrems leidden eerder al tot de Schrems-I uitspraak, waarbij Safe Harbor (de voorloper van Privacy Shield) ongeldig werd verklaard. Schrems diende daarna in Ierland opnieuw vergelijkbare klachten in, naar aanleiding waarvan de Ierse rechter besloot een aantal vragen te stellen aan de Europese rechter.
De uitspraak
Op 16 juli 2020 heeft het Hof van Justitie EU in reactie op de vragen van de Ierse rechter het Privacy Shield ongeldig verklaard. Dit is met onmiddellijke ingang van kracht. Organisaties in de EU kunnen geen persoonsgegevens aan de Verenigde Staten meer doorgeven op grond van het Privacy Shield. Volgens het hof bevat het werken met modelcontracten een doeltreffend mechanisme om in de praktijk te waarborgen dat het vereiste beschermingsniveau in acht wordt genomen. Daarbij wijst het hof erop dat je, als je met modelcontracten werkt, verplicht bent om zelf eerst na te gaan of het land waar je gegevens naartoe export het beschermingsniveau in acht neemt. Aan de andere kant wijst het Hof erop dat de buitenlandse ontvanger van gegevens verplicht is het aan jou als exporteur van gegevens te melden indien hij niet in staat zou zijn om de standaardbepalingen inzake gegevensbescherming na te leven. Je moet in dat geval de doorgifte van gegevens (tijdelijk) opschorten en/of de overeenkomst met de ontvanger beëindigen.
Het resultaat
Volgens het Hof kunnen modelcontracten dus nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU, maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd. Dit kan betekenen dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen.
Hoe helpt NLdigital jouw organisatie?
NLdigital houdt de ontwikkelingen rondom deze uitspraak, de eventuele handhaving en alternatieve afspraken scherp in de gaten. We kunnen jouw organisatie helpen om de eerste stappen ter voorbereiding te zetten, of je voorzien van breder Avg-advies. Lees ook het stappenplan voor bedrijven die gegevens uitwisselen met de VS. Op onze website en in ons Data Pro oriëntatiepakket vind je veel informatie over specifieke onderdelen van de Avg. Onze juristen geven advies en ondersteuning op het gebied van privacy en Avg. Ook kunnen bedrijven die hun klanten willen laten zien dat ze privacy serieus nemen en verantwoord omgaan met persoonsgegevens, zich laten certificeren. Certificering gebeurt op basis van de Avg-gedragscode van NLdigital, de Data Pro Code.
Data Pro Code als extra waarborg
Simon Hania, voorzitter van onze commissie Privacy, ziet ook mogelijkheden voor het werken conform de Data Pro Code als vorm van extra waarborg naast de modelcontractsbepalingen. “De Data Pro Code is een hulpmiddel om je interne processen te versterken, en wellicht dat je het als aanvullende maatregel op de modelcontractsbepalingen zou kunnen inzetten om zo een gelijkwaardig beschermingsniveau te kunnen garanderen.”