Maakt uw organisatie gebruik van bijvoorbeeld een back-up server in de VS via Linux of Acronis of e-mailmarketingsoftware zoals MailChimp en doet u voor het rechtmatig doorgeven van persoonsgegevens in het kader van de Algemene verordening gegevensbescherming (hierna: AVG) een beroep op het Privacy Shield? Dan moet u op korte termijn actie ondernemen om een boete van de Autoriteit Persoonsgegevens te voorkomen!
Binnen de Europese Unie (hierna: EU) is de AVG van toepassing die de privacy van Unieburgers beschermt. Wanneer persoonsgegevens worden doorgegeven naar landen buiten de EU komt deze privacy in gevaar, omdat derde landen niet gebonden zijn aan de AVG en de privacy dus niet per se (op gelijke wijze) in die landen wordt beschermd. De EU wil de privacy van Unieburgers echter ook buiten de Unie zo veel mogelijk waarborgen en heeft daarom in de AVG opgenomen dat de AVG van toepassing is op de doorgifte van persoonsgegevens naar derde landen. De AVG eist met betrekking tot deze doorgifte dat de personen van wie gegevens worden doorgegeven eenzelfde beschermingsniveau geboden wordt als binnen de EU. Dat kan op verschillende (in de AVG opgesomde) manieren gebeuren.
In dat verband had de Europese Commissie voor de doorgifte van persoonsgegevens naar de VS besloten dat Europese bedrijven rechtmatig persoonsgegevens mochten doorgeven aan organisaties in de VS die waren gecertificeerd onder het Privacy Shield. In het Privacy Shield waren afspraken gemaakt tussen de EU en de VS over de wijze waarop persoonsgegevens vanuit de EU mochten worden doorgegeven aan organisaties in de VS. Organisaties als Linux, Acronis en Mailchimp zijn dergelijke gecertificeerde bedrijven.
Ongeldig verklaring Privacy Shield
Inmiddels heeft het Hof van Justitie verklaard dat het Privacy Shield niet eenzelfde beschermingsniveau biedt als de AVG in Europa. Volgens het Hof zijn de beperkingen op de bescherming van persoonsgegevens die voortvloeien uit de interne regeling van de VS niet zodanig afgebakend dat eenzelfde beschermingsniveau als in de EU wordt gehaald. Verder hebben personen waarvan de gegevens worden doorgegeven naar de VS niet de mogelijkheid in beroep te gaan bij een onafhankelijk orgaan (zoals de Autoriteit Persoonsgegevens dat in Nederland doet) dat waarborgen biedt ten aanzien van de verwerking van persoonsgegevens en daarop toezicht houdt.
Om deze redenen heeft het Hof het Privacy Shield ongeldig verklaard. Dit biedt dan ook geen rechtmatige grondslag meer om persoonsgegevens door te geven aan de gecertificeerde organisaties. Wanneer u persoonsgegevens blijft doorgeven aan een van die organisaties in de VS, loopt u het risico dat de Autoriteit Persoonsgegevens een boete oplegt.
Hoe kunt u wel rechtmatig gegevens doorgeven naar de VS?
Voor uw organisaties is het niet handig als u nu een ander bedrijf binnen Europa moet vinden om dezelfde diensten te verrichten. Gelukkig is dit ook niet per se nodig. Om een boete te voorkomen kunt u een (aanvullende) overeenkomst sluiten met de organisatie in de VS aan wie u de gegevens doorgeeft. In deze overeenkomst kunt u bepalingen opnemen met betrekking tot de verplichtingen van u als gegevensexporteur en de verplichtingen van de gegevensimporteur in de VS. Verder kunt u afspraken maken over de aansprakelijkheid van partijen, hoe samengewerkt moet worden met toezichthoudende autoriteiten (zoals de Autoriteit Persoonsgegevens) en hoe omgegaan wordt met een eventuele subverwerking van de persoonsgegevens.
Bij vragen over dit onderwerp, het opstellen van de overeenkomst of voor het adviseren over de doorgifte van persoonsgegevens naar de VS, kunt u contact met mij opnemen.
