Het was nogal groot nieuws vorige week; het Hof van Justitie van de Europese Unie (EU) heeft het EU-VS privacy shield (privacyschild) ongeldig verklaard. Dit houdt in dat organisaties binnen de EU geen persoonsgegevens van burgers aan de Verenigde Staten (VS) meer mogen doorgeven, op grond van het ‘privacy shield’. Het betekent dus ook dat bedrijven geen persoonsgegevens meer legaal kunnen doorgeven, om buiten de EU op hun servers op te slaan. Dat heeft nogal gevolgen voor veel bedrijven.
Wat er aan vooraf ging
Eerder zorgde het zogenoemde ‘Safe Harbor besluit’ voor dat gegevens van Europese burgers makkelijk doorgegevens konden worden aan de VS. Destijds is het Safe Harbor besluit vernietigd door de rechter omdat de VS de gegevens niet goed beschermde volgens de EU-wetgeving. De EU US Privacy Shield was de opvolger van het vernietigde besluit.
Helaas bleek de bescherming van de gegevens bij het Privacy Shield ook niet gewaarborgd. Dat komt omdat de Amerikaanse wetgeving anders dan de EU-wetgeving recht hebben om gegevens van EU-burgers in te zien en te gebruiken. Dit is niet beperkt tot strikt noodzakelijk gegevens. Ook heeft een burger niets voor handen om hier iets aan te doen, bijvoorbeeld door een klacht in te dienen.
Hoe nu verder?
De EDPB (European Data Protection Board) kijkt wat de gevolgen zijn. Volgens het Europese Hof kunnen modelcontracten nog gebruikt worden voor doorgifte van gegevens naar landen buiten de EU. Maar dat kan en mag alleen als er een als de bescherming van de gegevens in de praktijk kan worden gewaarborgd. De EDPB komt snel met een handleiding met aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten. Denk bijvoorbeeld aan contracten met je server providers.
Ons advies
Worden persoonsgegevens van jouw onderneming bewaard in landen buiten de EU, dan heeft dit besluit een grote impact. Het uitwisselen van gegevens mag dus niet zomaar meer. Contracten zullen bijvoorbeeld aangepast moeten worden. Neem daarom contact met mij op als je daarbij advies nodig hebt.