De Schrems II-zaak: wat is er gebeurd?

Op 16 juli heeft het Hof van Justitie van de Europese Unie een uitspraak gedaan in de Schrems II-zaak, waarin Max Schrems opnieuw klaagde over doorgifte van zijn gegevens naar de Verenigde Staten. Als gevolg is onder andere het Privacy Shield per direct ongeldig. We lichten toe wat er gebeurd is in deze rechtszaak. Wisselt jouw organisatie gegevens uit met een partij in de VS? Dan hebben we een stappenplan voor jou opgesteld zodat je Avg-proof kunt blijven.

Lees hier een update van februari 2022.

De aanklacht

Volgens Maximillian Schrems mocht Facebook zijn persoonsgegevens niet doorgeven naar de VS, omdat daar onvoldoende bescherming is tegen de toegang door de overheid tot de gegevens. De klachten van Schrems leidden eerder al tot de Schrems-I uitspraak, waarbij Safe Harbor (de voorloper van Privacy Shield) ongeldig werd verklaard. Schrems diende daarna in Ierland opnieuw vergelijkbare klachten in, naar aanleiding waarvan de Ierse rechter besloot een aantal vragen te stellen aan de Europese rechter.

De uitspraak

Op 16 juli 2020 heeft het Hof van Justitie EU in reactie op de vragen van de Ierse rechter het Privacy Shield ongeldig verklaard. Dit is met onmiddellijke ingang van kracht. Organisaties in de EU kunnen geen persoonsgegevens aan de Verenigde Staten meer doorgeven op grond van het Privacy Shield. Volgens het hof bevat het werken met modelcontracten een doeltreffend mechanisme om in de praktijk te waarborgen dat het vereiste beschermingsniveau in acht wordt genomen. Daarbij wijst het hof erop dat je, als je met modelcontracten werkt, verplicht bent om zelf eerst na te gaan of het land waar je gegevens naartoe export het beschermingsniveau in acht neemt. Aan de andere kant wijst het Hof erop dat de buitenlandse ontvanger van gegevens verplicht is het aan jou als exporteur van gegevens te melden indien hij niet in staat zou zijn om de standaardbepalingen inzake gegevensbescherming na te leven. Je moet in dat geval de doorgifte van gegevens (tijdelijk) opschorten en/of de overeenkomst met de ontvanger beëindigen.

Het resultaat

Volgens het Hof kunnen modelcontracten dus nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU, maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd. Dit kan betekenen dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen.

Hoe helpt NLdigital jouw organisatie?

NLdigital houdt de ontwikkelingen rondom deze uitspraak, de eventuele handhaving en alternatieve afspraken scherp in de gaten. We kunnen jouw organisatie helpen om de eerste stappen ter voorbereiding te zetten, of je voorzien van breder Avg-advies. Lees ook het stappenplan voor bedrijven die gegevens uitwisselen met de VS. Op onze website en in ons Data Pro oriëntatiepakket vind je veel informatie over specifieke onderdelen van de Avg. Onze juristen geven advies en ondersteuning op het gebied van privacy en Avg. Ook kunnen bedrijven die hun klanten willen laten zien dat ze privacy serieus nemen en verantwoord omgaan met persoonsgegevens, zich laten certificeren. Certificering gebeurt op basis van de Avg-gedragscode van NLdigital, de Data Pro Code.

Data Pro Code als extra waarborg

Simon Hania, voorzitter van onze commissie Privacy, ziet ook mogelijkheden voor het werken conform de Data Pro Code als vorm van extra waarborg naast de modelcontractsbepalingen. “De Data Pro Code is een hulpmiddel om je interne processen te versterken, en wellicht dat je het als aanvullende maatregel op de modelcontractsbepalingen zou kunnen inzetten om zo een gelijkwaardig beschermingsniveau te kunnen garanderen.”


Deel via:

Het laatste nieuws

‘Toezicht door de mens blijft altijd nodig’

Hoe houd je grip op cybersecurity in een tijd waarin AI steeds dominanter wordt? Joost de Bruin, CEO van Sopra...
Cybersecurity

NLdigital roept AP op om handreiking over scraping te schrappen en pleit voor duidelijkheid over het kunnen gebruiken van persoonsgegevens voor AI-modellen 

Er gebeurt een hoop rondom artificial intelligence in privacy-land. Zo heeft de Autoriteit Persoonsgegevens (AP) onder andere een handreiking gepubliceerd...
Politiek & wetgeving

CRA gepubliceerd: cybersecurity vereisten voor alle hard- en software

De langverwachte Cyber Resilience Act (CRA) is vandaag officieel gepubliceerd in het Publicatieblad van de Europese Unie. Hiermee wordt deze...
Cybersecurity

NLdigital pleit samen met partners voor heroverweging EU-aanpak online kindermisbruik

NLdigital pleit samen met partners voor heroverweging EU-aanpak online kindermisbruik
Politiek & wetgeving

‘Alleen met sterke purpose en optimistische boodschap trek je toekomstig talent aan’

Hoe blijf je als technologieleider aantrekkelijk voor talent in een steeds krapper wordende arbeidsmarkt? Jeannine Peek, directeur van Capgemini en...
Opleiding & arbeidsmarkt