Privacy Shield ongeldig! Wat nu? EDPB geeft aanbevelingen voor doorgifte persoonsgegevens

Op 16 juli 2020 verklaarde het Hof van Justitie van de EU het Privacy Shield ongeldig met de uitspraak die ook wel bekend staat als “Schrems II”.

Op basis van het Privacy Shield mochten bedrijven persoonsgegevens vanuit de EU doorgeven aan de VS. Volgens het Hof bood het Privacy Shield geen passend beschermingsniveau, zodat doorgifte van persoonsgegevens op basis van het Privacy Shield niet mag plaatsvinden.

Wat nu?

Omdat veel bedrijven persoonsgegevens doorgeven aan de VS, werden deze bedrijven naar aanleiding van voornoemde uitspraak onrustig. Want: wat nu? Moeten zij stoppen met deze diensten en op zoek gaan naar een partij binnen Europa? Een echt antwoord op deze vraag is er nog niet, maar inmiddels heeft de European Data Protection Board (EDPB) aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen, oftewel: landen waar persoonsgegevens minder goed beschermd zijn dan in de EU. De EDPB wil het bedrijfsleven hiermee meer duidelijkheid geven.

Modelcontracten

De meest praktische oplossing voor bedrijven die persoonsgegevens willen doorgeven naar derde landen, is het gebruik van modelcontracten (ook wel standaardbepalingen, standard contractual clauses of SCC’s genoemd). Maar dat mag in de meeste gevallen alléén als een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen, zo vermeldt de Autoriteit Persoonsgegevens (“AP”) op haar website.

Aanbevelingen EDPB

Om bedrijven te helpen die bescherming te waarborgen, heeft de EDPB aanbevelingen opgesteld voor aanvullende maatregelen bij het gebruik van ‘doorgifte-instrumenten’, waaronder modelcontracten.

De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven zullen per geval moeten bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.

De EDPB heeft onderstaande “roadmap” ontwikkeld:

Stap 1: Weet waar persoonsgegevens naartoe gaan

Aan welke landen worden persoonsgegevens doorgegeven? Blijven de gegevens binnen de EU of gaan ze ook naar derde landen?

Stap 2: Op basis waarvan worden persoonsgegevens doorgegeven aan een derde land?

Persoonsgegevens mogen worden doorgegeven als sprake is van één van de volgende gevallen:

• Als er een adequaatheidsbesluit is;
• Als er passende waarborgen zijn getroffen:
• een juridisch bindend instrument tussen overheden
• bindende bedrijfsvoorschriften
• Modelcontracten
• Gedragscode
• Certificering

Stap 3: Check de lokale wetgeving

Biedt het land passende waarborgen en beschikken betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen? Deze beoordeling moet worden gemaakt en uitvoerig worden gedocumenteerd.

Stap 4: Kunnen aanvullende maatregelen uitkomst bieden? (Zoals voornoemde encryptie of pseudonimisering. Zo niet, stop dan met doorgifte persoonsgegevens)

Stap 5: Neem toepasselijke procedurele stappen (bv. door contact op te nemen met de AP omdat in sommige gevallen goedkeuring van de AP vereist is)

Stap 6: herbeoordeel regelmatig het beschermingsniveau

Controleer regelmatig of het beschermingsniveau in het derde land nog adequaat is of dat er ontwikkelingen zijn die het beschermingsniveau verminderen.

Conclusie

De EDPB heeft haar eerste aanbevelingen gedaan om het bedrijfsleven meer duidelijkheid te geven voor de doorgifte van persoonsgegevens naar landen waar persoonsgegevens minder goed beschermd zijn dan in de EU. Het is de vraag of zij daarin is geslaagd. Wellicht dat er op termijn een vervanging voor Privacy Shield kan komen. Het wachten is dan op nieuwe afspraken tussen de Amerikaanse regering en de Europese Commissie. Tot die tijd zullen we het moeten doen met de aanbevelingen van de EDPB.

Voor meer informatie over privacy en/of de vraag welke gevolgen het ongeldig verklaren van de Privacy Shield voor uw organisatie heeft, kunt u contact opnemen met Annemarie de Best