Ondernemingen en organisaties moeten per direct nagaan hoe het zit met de beveiliging van gegevens die zij uitwisselen met de Verenigde Staten. Dat zegt de Europese toezichthouder EDPB naar aanleiding van een arrest van het Europese Hof van Justitie.
Het Europese Hof heeft onlangs het zogeheten Privacy Shield naar de prullenbak verwezen. Dit zijn afspraken tussen de Europese Unie en de VS over gegevensbeveiliging. Privacy Shield moest ervoor zorgen dat voor Europese gegevens die in de VS worden opgeslagen hetzelfde beveiligingsniveau zou gelden als in de EU. Gegevensuitwisseling met de VS komt al snel om de hoek kijken, bijvoorbeeld bij het gebruik van clouddiensten van Amerikaanse partijen.
Het Europese Hof heeft Privacy Shield naast de Algemene Verordening Gegevensbescherming (AVG) gelegd en concludeert dat de afspraken niet aan die standaarden voldoen. De Amerikaanse autoriteiten hebben meer toegang tot Europese gegevens dan volgens de Europese maatstaven mag. Ook kunnen Europese burgers bijvoorbeeld niet hun privacyrechten afdwingen in de VS, terwijl de AVG dat wel voorschrijft. Het Hof heeft Privacy Shield daarom nietig verklaard.
Het oordeel van het Hof heeft direct gevolgen voor contracten die op Privacy Shield zijn gebaseerd. Dat blijkt uit antwoorden op veelgestelde vragen van het European Data Protection Board (EDPB), de organisatie die toezicht houdt op gegevensbescherming in Europa. EDPB laat weten dat er géén overgangstermijn is. Daardoor zijn contracten voor gegevensuitwisseling tussen de VS en de EU die zijn gebaseerd op Privacy Shield per direct ‘illegaal’.
Organisaties en ondernemingen die gegevens willen blijven uitwisselen zullen dus moeten uitzoeken of de manier waarop zij dat doen de AVG-toets doorstaat, aldus de EDPB. Het is echter nog niet glashelder hoe streng Europese of nationale toezichthouders hier op zullen toezien en of er toch niet een beetje tijd is om de nodige contracten aan te passen.
Er zijn nog steeds mogelijkheden om gegevens uit te blijven wisselen. Zo staat artikel 49 van de AVG toe om gegevens uit te wisselen als dat noodzakelijk is, of als er expliciet toestemming voor gegeven is. Ook zijn er nog speciale soorten contracten voor gegevensuitwisseling, de zogenoemde ‘standard contractual clauses’ (SCC) en ‘binding corporate rules’ (BCR). Die vorm heeft het Hof niet per definitie illegaal verklaard, zo bevestigt de EDPB. Maar ook bij deze contracten zullen organisaties moeten nagaan of ze wel aan de AVG-voorschriften voldoen. Meer informatie vindt u in het document met vragen en antwoorden (pdf, in het Engels) van de EDPB.