Voorzichtig goed nieuws: er lijkt een doorbraak te zijn in de onderhandelingen tussen de Verenigde Staten (VS) en de Europese Unie (EU) over een opvolger van het Privacy Shield. Wat dit inhoudt en wat dit voor u betekent, leest u hieronder.
Nieuwsbrieven verzenden via de VS
Voorheen werden persoonsgegevens uitgewisseld tussen de EU en de VS op basis van het Privacy Shield. Denk aan de situatie waarbij een Nederlandse onderneming de door haar verzamelde persoonsgegevens verstrekt aan een leverancier in de Verenigde Staten, of waarbij zij haar nieuwsbrieven verstuurt via het Amerikaanse Mailchimp. Lange tijd werd aangenomen dat het Privacy Shield in lijn was met de strenge Europese wetgeving. Het Europese Hof van Justitie dacht hier echter anders over en oordeelde in zijn Schrems II-arrest dat het Privacy Shield hiermee juist in strijd was. Het Hof was hier namelijk van mening dat de VS geen gelijkwaardig beschermingsniveau biedt ten opzichte van het niveau van de EU.
Trans-Atlantic Data Privacy Framework
De VS en de EU werden door het hof dus terugverwezen naar de tekentafel. Dit heeft geleid tot een principeakkoord tussen de VS en de EU waarin aanvullende eisen aan doorgifte van persoonsgegevens gesteld zijn. Zo wordt met het akkoord beoogd meer nadruk te leggen op beperking van de inzage door Amerikaanse veiligheidsdiensten in persoonsgegevens van EU-burgers. Daarnaast wordt een onafhankelijk Data Protection Review Court opgericht waar EU-burgers klachten kunnen indienen tegen onrechtmatige inzage van persoonsgegevens door dergelijke veiligheidsdiensten.
Hoe nu verder?
Het Framework dat er nu ligt is nog altijd alleen een principeakkoord. Dit houdt in dat deze nieuwe afspraken nog niet gelden, waardoor het uitwisselen, en verwerken, van persoonsgegevens in de VS nog altijd niet is toegestaan. De enige uitzondering hierop is als er aan strenge eisen wordt voldaan door middel van zogenaamde Standard Contractual Clauses plus aanvullende voorwaarden om de beveiliging van de gegevens te garanderen. Dit blijft zo tot het moment dat de afspraken zijn omgezet naar wetgeving en er zowel vanuit de EU als VS door verschillende partijen en commissies naar is gekeken. Daar komt nog bij dat zowel de EDPB (het overkoepelende orgaan van de toezichthouders) als Max Schrems (bekend als de aanjager van de uitspraken Schrems I en II) hebben aangegeven twijfels te hebben bij de beveiliging die de nieuwe afspraken bieden. Tevens heeft Max Schrems al aangegeven niet te twijfelen om voor een Schrems III uitspraak te gaan bij het Hof indien nodig.
Het is dus nog niet gezegd dat er op korte termijn een oplossing volgt waarmee Europese ondernemers opnieuw persoonsgegevens kunnen uitwisselen met organisaties in de VS. De tijd zal leren hoe dit er in de praktijk uit komt te zien en/of wanneer de nieuwe afspraken daadwerkelijk in gebruik worden genomen. Er lijkt in ieder geval een stap in de juiste richting te zijn gezet. Tot die tijd houden we u vanzelfsprekend op de hoogte van eventuele vorderingen en helpen we u graag op weg met oplossingen en alternatieven.
Tot slot
Hebt u na het lezen van deze blog nog vragen over de doorgifte van persoonsgegevens? Of wilt u sparren met onze advocaten over een specifieke kwestie? Neem contact op met onze sectie privacyrecht via het e-mailadres privacyrecht@vangelderadvocaten.nl of telefonisch via 088-8840840. We helpen u graag verder!
