16 juli jl. is het EU-US Privacy Shield uit 2016 nietig verklaard door het Europees Hof van Justitie. Persoonsgegevens die door Europese bedrijven naar de Verenigde Staten zijn gestuurd worden onvoldoende beschermd. Zo’n vijfduizend Amerikaanse bedrijven importeren persoonlijke data van Europese bedrijven. In de VS gelden echter andere privacyregels dan in Europa, waardoor de privacy van de persoonsgegevens minder wordt gewaarborgd.
Indien jij als ondernemer gebruik maakt van Amerikaanse websites en software dan wordt de privacy van jou en je klanten nu niet meer gewaarborgd. Dit betekent dat je niet meer voldoet aan de AVG. Bij dergelijke websites en software kun je denken aan Microsoft Office, Squarespace en Amazon. Wat moet jij weten over geen waarborgende privacy in de VS?
Wat is Privacy Shield?
Het EU-US Privacy Shield is een overeenkomst tussen de VS en de EU over de uitwisseling van de persoonsgegevens tussen Amerikaanse en Europese bedrijven. Amerikaanse bedrijven dienen deel te nemen aan het Privacy Shield programma voor de certificering van het bedrijf. Door de certificering hoeven bedrijven geen Europees Modelcontract te sluiten. Het is daardoor makkelijker om de persoonsgegevens uit de EU te importeren.
Eenmaal gecertificeerd moeten Amerikaanse bedrijven diverse regels in acht nemen voor de verwerking van de Europese persoonsgegevens. De belangrijke regels in het kort:
- De privacy policy moet voldoen aan de Privacy Policy Principles;
- De klachtenprocedure moet onafhankelijk en kosteloos zijn;
- De klachten moeten binnen 45 dagen worden behandeld;
- De persoonsgegevens worden slechts gebruikt voor het aangegeven doel;
- Wanneer een bedrijf wordt aangesproken door een toezichthouder, wordt dit openbaar gemaakt evenals de getroffen maatregelen.
De Amerikaanse overheid controleert regelmatig of de gecertificeerde bedrijven zich aan de regels houden. De overheid heeft de mogelijkheid om een certificaat in te trekken. Daarnaast kunnen Europese bedrijven bij de Amerikaanse ombudsman een klacht indienen.
Bij het verwerken van de persoonsgegevens buiten de Europese Unie moet in grote lijnen worden voldaan aan de Europese regelgeving. Dit blijkt niet het geval bij Privacy Shield. Het beschermingsniveau van de persoonsgegevens in de VS ligt lager dan in de EU.
Harbour Safe
Het is niet de eerste keer dat een overeenkomst tussen de VS en de EU is vernietigd. In 2015 werd de voorganger van het Privacy Shield, Safe Harbour Programme, ook vernietigd. Safe Harbour Programme was een proces voor bedrijven in de VS om te voldoen aan de Europese regelgeving omtrent de bescherming van persoonsgegevens. Op 6 oktober 2015 oordeelde het Europees Hof van Justitie dat dit verdrag onvoldoende garanties biedt om de Europese privacywetgeving te handhaven. Het Privacy Shield is een strenger proces dan zijn voorganger. Bij het Privacy Shield kan de naleving van de regels ook daadwerkelijk gecontroleerd worden, bij Safe Harbour ging het meer op basis van zelfregulering.
Uitspraak Hof (Schrems II-arrest)
De Weense advocaat en privacy-activist Max Schrems heeft een klacht ingediend tegen Facebook bij de Ierse Autoriteit Persoonsgegevens. De Oostenrijker meende dat Facebook zijn persoonlijke gegevens onrechtmatig naar de VS heeft gestuurd. Daarnaast plaatste hij vraagtekens bij de manier waarop de VS zijn gegevens gebruikt en verwerkt. Dit was overigens niet de eerste klacht van Schrems, zijn eerste klacht leidde al tot de nietigverklaring van het Safe Harbour verdrag. In eerste instantie is zijn klacht tegen Facebook afgewezen, omdat de Europese Commissie had vastgesteld dat de VS een passend beschermingsniveau waarborgt. Na nietigverklaring van Safe Harbour heeft de Ierse toezichthouder Schrems uitgenodigd om zijn klacht te herformuleren. Ook nu bleef hij bij het feit dat de VS geen passende bescherming biedt tegen zijn gegevens. Aan de Europese rechter is vervolgens gevraagd de Privacy Shield opnieuw onder de loep te nemen.
De hoogste Europese rechter heeft daarop besloten om het Privacy Shield ook te vernietigen. Dit komt volgens de AP voornamelijk door het feit dat de Amerikaanse inlichtingen- en veiligheidsdiensten het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. De data zijn daarom niet ‘tot het strikt noodzakelijk’ beperkt, terwijl de Europese privacywetgeving dit wel vereist. In de VS bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. Daarom hebben de VS geen passend beschermingsniveau, dit wil zeggen: vergelijkbaar met het niveau in de EU.
Uit het arrest blijkt dat doorvoering van gegevens slechts mogelijk is indien een land een passend beschermingsniveau waarborgt. De AP kijkt wat binnen de European Data Protection Board (EDPB) de praktische gevolgen zijn van deze uitspraak.
De gevolgen van de nietigverklaring
Het gevolg van de uitspraak is dat de organisaties die gegevens doorsturen naar de VS niet meer aan de AVG voldoen. Jij als ondernemer die werkt met deze Amerikaanse bedrijven dus ook niet meer! Het Hof heeft wel geoordeeld dat het gebruik van SCC’s (Standard Contractual Clauses) wel mogelijk blijft. Dit zijn standaardcontracten voor de uitwisseling van persoonlijke gegevens tussen Europese en niet-Europese landen. Het gebruik van modelcontracten is wél een geldige grondslag is voor doorgifte van gegevens naar de VS.
Bedrijven kunnen op dit moment ook terugvallen op een alternatief mechanisme. Ze moeten nu een aantal handelingen zelf verrichten om de privacy van de burgers voldoende te beschermen, dit gebeurde bij het Privacy Shield automatisch. Volgens een woordvoerder van het Europees Hof wordt de verwerking in de VS nu wel wat moeilijker omdat het meer rompslomp en eventuele kosten met zich meebrengt.
De Europese Commissie zal met de Amerikaanse autoriteiten om de tafel moeten gaan zitten om een alternatief te bedenken dat wél past in het plaatje van de privacywetgeving in Europa. Dit zal naar verwachting een flinke onderhandeling worden, omdat de wetgeving van de VS botst met de privacywetgeving van de EU. Volgens Schrems zullen de VS wellicht hun wetgeving voor de inlichtingsdiensten moeten aanpassen, willen Amerikaanse bedrijven nog een serieuze rol spelen in Europa.
Wel of geen waarborgende privacy?
Door de nietigverklaring van het Privacy Shield kunnen persoonlijke gegevens niet meer zomaar doorgestuurd worden door Europese bedrijven naar de VS op grond van de Privacy Shield Certication. Reden hiervoor is dat de privacy in de VS minder wordt gewaarborgd dan in de EU; in de VS kunnen veiligheids- en inlichtingendiensten namelijk gegevens inzien. Het is op dit moment afwachten of de Europese Commissie met de Amerikanen om de tafel gaat zetten om een nieuw juridisch contract op te stellen. Het is op dit moment wel mogelijk om gebruik te maken van modelcontracten. Het gebruik hiervan zal echter meer tijd in beslag nemen en tot hogere kosten leiden.
Lady Lawyer adviseert om goed in de gaten te houden wat er met de gegevens van jou en/of je klanten gebeurt. Wil je 100% aan de AVG voldoen met jouw onderneming? Zorg er dan voor dat je alleen gebruik maakt van Europese programma’s en software.