People Intouch heeft organisaties altijd gewaarschuwd dat door de verwerking van gevoelige bedrijfsgegevens in de VS deze gegevens binnen het bereik van opdringerige Amerikaanse autoriteiten (bijv. DOJ, NSA, DHS) brengt. Het arrest van het Europees Hof van Justitie in de zaak Schrems II van deze maand bevestigt onze bezorgdheid over deze kwestie en benadrukt het belang om na te denken over waar u de gevoelige gegevens van uw bedrijf met betrekking tot misstanden wilt verwerken.
Op 16 juli heeft het Europese Hof van Justitie met haar Schrems II-besluit het EU-VS Privacy Shield ongeldig verklaard . Het Privacy Shield was de wettelijke basis waarop meer dan 5000 bedrijven vertrouwden om persoonsgegevens van Europa naar de VS over te dragen op een manier die in overeenstemming is met de voorschriften. Ook voor bedrijven die niet vertrouwen op het Privacy Shield voor de verwerking van persoonsgegevens zal de ongeldigverklaring aanzienlijke gevolgen hebben, aangezien de uitspraak de nadruk legt op de problemen die kunnen ontstaan bij de doorgifte van uw gegevens naar de VS en de adequate bescherming ervan.
De AVG zorgt in heel Europa voor gelijke voorwaarden voor de bescherming van persoonsgegevens binnen de Europese Unie. Bij de doorgifte van persoonsgegevens buiten de EU moet een gelijkwaardig (hoog) beschermingsniveau in acht worden genomen. Om grensoverschrijdende doorgifte buiten de EU mogelijk te maken, voorziet de Europese Commissie in adequate besluiten voor specifieke landen. Een besluit waarbij het beschermingsniveau passend wordt verklaard, bestaat uit een uitvoeringsbesluit en een onderzoeksprocedure, met inbegrip van criteria zoals de eerbiediging van de rechtsstaat, toegang tot de rechter en internationale mensenrechtennormen. Een passend besluit voor een specifiek land waarborgt de internationale doorgifte van gegevens naar dat specifieke land. Naast het nemen van adequate besluiten kan de doorgifte van gegevens ook op een AVG-conforme manier worden uitgevoerd, bijvoorbeeld door het aangaan van modelcontracten (aangenomen door de Europese Commissie, maar momenteel ook onder onderzoek) of bindende bedrijfsvoorschriften.
Het Privacy Shield was niet de eerste overeenkomst die door de Europese Commissie werd ontworpen om een gelijkwaardige bescherming te bieden voor de doorgifte van persoonsgegevens aan de VS. De voorganger was Safe Harbor, dat 20 jaar geleden werd goedgekeurd. Safe Harbor werd in 2015 door het Europese Hof van Justitie in Schrems I ongeldig verklaard, omdat de grondrechten in de Europese Unie onvoldoende werden beschermd. De Verenigde Staten hebben de nationale veiligheid, het openbaar belang en de wetshandhaving boven de beginselen van Safe Harbor voor de bescherming van persoonsgegevens geplaatst.
De Europese Commissie heeft het EU-VS Privacy Shield in 2016 formeel goedgekeurd als verbeterde opvolger van Safe Harbor. Het Privacy Shield voorzag in een vrijwillig certificeringsprogramma waarvoor bedrijven zich konden aanmelden. Bedrijven die zich aanmeldden voor het certificeringsprogramma moesten gekwalificeerd zijn en zich verbinden aan de beginselen van het Privacy Shield. Deze beginselen omvatten onder meer verantwoording voor verdere doorgifte, gegevensintegriteit, toegang en aansprakelijkheid. Op 16 juli oordeelde het Hof van Justitie echter dat ook het Privacy Shield niet voldoende waarborgen biedt. In het bijzonder biedt het Privacy Shield niet voldoende garanties om de doorgegeven persoonsgegevens veilig te bewaren in het kader van Amerikaanse bewakingsprogramma’s. Bovendien biedt het Privacy Shield de Europese betrokkenen niet voldoende afdwingbare rechten en effectieve rechtsmiddelen in de VS.
Het arrest van het Europese Hof van Justitie onderstreept nogmaals de moeilijkheden die gepaard gaan met de doorgifte van bedrijfsgevoelige gegevens aan de VS. Aangezien het Privacy Shield geen geldige rechtsgrond meer vormt voor internationale gegevensoverdracht, zullen de organisaties die erop vertrouwen nieuwe regelingen moeten treffen om aan de hoge Europese normen voor gegevensbescherming te blijven voldoen. Er zal per geval een analyse moeten worden gemaakt om de gegevens veilig te stellen, als zij hun gegevens buiten Europa willen blijven doorgeven.
Meer informatie over het Schrems II-arrest van het Hof van Justitie is hier te vinden.