Op 16-7-2020 heeft Europees Hof van Justitie bepaald dat persoonsgegevens in de VS minder goed zijn beschermd dan in de EU. Het Privacy Shield is daarmee ongeldig verklaard (de zaak Schrems II).
In het geval van de Verenigde Staten is dat beschermingsniveau niet te garanderen. Feitelijk mogen Europese bedrijven nu geen persoonsgegevens meer doorgeven aan bedrijven in de VS. Denk hierbij aan Social Media bedrijven maar ook Microsoft, Google, Apple en allerhande clouddiensten zoals bedrijven die u cookies laat plaatsen via uw website.
Uitspraak Hof
Het Hof van Justitie stelt dat het Privacy Shield onvoldoende bescherming kan garanderen. Dat komt omdat, op grond van de Amerikaanse wetgeving, de inlichtingen- en veiligheidsdiensten daar het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. Dit is niet beperkt tot strikt noodzakelijk gegevens.
Schrems II zaak
De Oostenrijkse Maximillian Schrems heeft ongeveer 5 jaar geleden ervoor gezorgd dat Safe Harbor (de voorganger van het Privacy Shield) ongeldig is verklaard. Na deze uitspraak bleef Schrems van mening dat er geen passende bescherming is voor doorgifte van persoonsgegevens aan de Verenigde Staten. Ook het Privacy Shield bood volgens hem onvoldoende bescherming tegen het datagraaien van de Amerikaanse inlichtingendiensten.
Het Europese Hof heeft een oordeel geveld over doorgifte van persoonsgegevens op basis van het Privacy Shield en de standaardbepalingen van de Europese Commissie.
Privacy Shield
Amerikaanse overheidsinstanties kunnen toegang verkrijgen tot persoonsgegevens die vanuit Europa naar de Verenigde Staten worden doorgestuurd. En hierdoor, zo vindt het Hof, biedt het Privacy Shield onvoldoende bescherming. Bescherming van privacy waar personen op basis van de AVG wel degelijk recht op hebben. Daarnaast worden aan personen geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten toegekend. De (veel te laat) aangestelde ombudsman biedt hier ook niet voldoende waarborgen. Het Hof concludeert dan ook dat het Privacy Shield ongeldig is.
De gevolgen voor u
Wat de gevolgen hier praktisch van zijn moet nog blijken. U zal als Europese partij aan moeten tonen dat er in een land buiten de EU geen risico’s zijn ten aanzien van bijvoorbeeld inlichtingendiensten die bij de data kunnen.
Weet u waar al uw data wordt opgeslagen?