Het Europees Hof van Justitie (HvJEU) heeft op 16 juli jl. een oordeel gegeven in de principiële zaak over de doorgifte van persoonsgegevens vanuit de EU naar de VS. De zaak was aangespannen, omdat in de VS onvoldoende bescherming zou bestaan tegen de toegang tot persoonsgegevens door de Amerikaanse overheid.
Privacy Shield ongeldig en modelcontracten onder omstandigheden bruikbaar
Het HvJEU heeft het EU-VS Privacy Shield derhalve ongeldig verklaard. Daarnaast verduidelijkt het Hof dat de doorgiften naar landen buiten de EER onder de AVG vallen, zodat vereist is dat een aanvullende maatregel wordt genomen bij de doorgifte. Met het wegvallen van Privacy Shield zullen veel organisaties vertrouwen op de modelcontracten (Standard Contractual Clauses) als maatregel bij doorgifte aan landen buiten de EER, zoals de VS, om zo de doorgifte te legitimeren.
Het Hof oordeelt dat modelcontracten nog wel geldig zijn, maar dat de verwerkingsverantwoordelijke (verzender) van de persoonsgegevens (zoals een gemeente) samen met de ontvanger (verwerkingsverantwoordelijke of verwerker, zoals clouddiensten) vooraf moeten nagaan of het land dat de persoonsgegevens ontvangt wel adequate bescherming biedt. De ontvanger van de gegevens moet de exporteur ervan op de hoogte brengen als de bescherming niet adequaat genoeg is. Als er geen adequate bescherming is moet de verstrekker besluiten de doorgifte te staken of aanvullende maatregelen nemen. Welke maatregelen dat kunnen zijn zoekt de Europese groep van privacytoezichthouders (EDPB) nu verder uit.
Gevolgen en hoe nu verder?
De uitspraak heeft gevolgen voor iedere organisatie die persoonsgegevens laat verwerken buiten de EER onder het Privacy Shield of modelcontracten. Per geval zal bekeken moeten worden of:
Hoe groot de gevolgen zijn voor uw organisatie is pas echt in te schatten wanneer u in beeld heeft voor welke leveranciersrelaties / doorgiftes van persoonsgegevens u zich beroept op het Privacyshield bij de opslag van data buiten de EER en voor welke verwerkingen / doorgiftes modelcontracten worden gebruikt. Het is verstandig elke individuele verwerker buiten de EER, of een verwerker die gegevens doorgeeft aan partijen buiten de EER, te vragen hoe deze nu omgaat met de huidige situatie. U kunt bijvoorbeeld per leverancier vragen welke stappen zij nemen. De verwerkingsverantwoordelijke gemeente blijft onder de AVG overigens eindverantwoordelijke (richting de betrokkenen, zoals de inwoners) voor het voldoen aan de AVG. Denk daarbij ook aan het actualiseren van privacydocumentatie.
Overigens is de veiligheid van de data in beginsel niet gewijzigd als gevolg van de uitspraak, alleen de juridische status. Dat neemt niet weg dat de verwerkingsverantwoordelijke verantwoordelijk blijft. Nieuwe afspraken over doorgiftes naar de VS zijn in de eerste plaats een zaak tussen de VS en de EU. Het is aan de Europese wetgever, al dan niet samen met de nationale privacytoezichthouders, om hier actie op te ondernemen. Wat betreft de omgang met modelcontracten worden ook nadere richtsnoeren verwacht van de Europese wetgever en privacytoezichthouders. De AP heeft inmiddels ook een reactie geplaatst op hun website. Bekijk ook de FAQ-pagina van de EDPB.
Ontwikkelingen rondom dit vraagstuk zijn bijgewerkt op de pagina over de risico’s van opslag van persoonsgegevens bij Amerikaanse partijen. U kunt uw vragen (aan andere gemeenten) ook stellen op het veelbezochte VNG privacyforum.