Privacy Shield - Kunnen we nog persoonsgegevens naar de Verenigde Staten doorsturen?

In juli heeft het Europees Hof van Justitie een essentieel mechanisme om de doorgifte van persoonsgegevens tussen de EU en de Verenigde Staten mogelijk te maken – het Privacy Shield – ongeldig verklaard. Reden: de Amerikaanse controleprogramma’s houden risico’s in voor de bescherming van die gegevens.


Nathalie Ragheno, COMPETENTIECENTRUM RECHT & ONDERNEMING
01 september 2020

Elke verwerkingsverantwoordelijke die persoonsgegevens buiten de EU wil doorgeven, moet eerst nagaan of het land van bestemming die gegevens voldoende beschermt. Zo ja, dan verloopt de doorgifte net zoals binnen de EU. Maar omdat de wetgeving in de Verenigde Staten niet hetzelfde beschermingsniveau biedt, werd een systeem van autocertificering ingevoerd voor bedrijven gevestigd in de Verenigde Staten. Dat beschermingsmechanisme, beter bekend als het Privacy Shield, trad in 2016 in werking. 

Een precedent
Onlangs heeft het Hof van Justitie van de EU (HvJEU) dat Privacy Shield dus ongeldig verklaard. Eind 2015 deed het Hof dat ook al in de zaak rond de Safe Harbour, het vorige afstemmingsmechanisme, aangespannen door de Oostenrijkse student Max Schrems. Als Facebookgebruiker vond die laatste dat het sociale netwerk te weinig bescherming bood voor persoonsgegevens. Dat was 2 jaar nadat Edward Snowden aan het licht had gebracht hoe ver de Verenigde Staten gingen in massacontrole met behulp van digitale tools.

Net zoals in 2015 en eveneens op grond van een klacht van Max Schrems, oordeelde het HvJEU dat het Privacy Shield niet voldoet aan de toereikendheidsvereisten van de GDPR. Het oordeelt dat de Amerikaanse reglementering betreffende de programma’s voor massacontroles door de overheid een onaanvaardbare beperking inhoudt van de bescherming van persoonsgegevens die vanuit de EU naar de Verenigde Staten worden verstuurd.

Wat zijn de gevolgen voor de bedrijfswereld?
Het Privacy Shield biedt dus niet langer een juridische garantie bij de doorgifte van persoonsgegevens naar de Verenigde Staten. Het Europees Comité voor gegevensbescherming (ECG) waarschuwt dat alle overdrachten die op basis van dat systeem gebeuren voortaan illegaal zijn. Om gegevens naar de Verenigde Staten door te geven moeten Europese bedrijven dus alternatieven zoeken, zoals de modelcontractbepalingen van de Europese Commissie, of bindende bedrijfsregels binnen een bedrijvengroep. Verder moeten ze nagaan of die contractbepalingen en bedrijfsregels wel degelijk een passend beschermingsniveau bieden bij een gegevenstransfer naar de VS.

De EU zal nu dus over een nieuw mechanisme moeten onderhandelen met de regering-Trump, terwijl die laatste in het verleden ook al niet veel ophad met de GDPR.

Als pragmatische mogelijkheid om de bedrijven in afwachting rechtszekerheid te bieden, zou het ECG een “gedoogperiode” kunnen voorstellen voor ondernemingen die gegevens doorgeven, zoals toen de Safe Harbour ongeldig werd verklaard, om zo de handelsbetrekkingen minimaal te verstoren.

> Lees ook het persbericht van de GBA

Onze partners

Actiedomeinen

Een gezond ondernemingsklimaat is essentieel voor een gezonde economie en duurzame groei in België. Als VBO nemen we de verantwoordelijkheid om de motor van onze welvaartsstaat op kruissnelheid te houden. Om dat te bereiken, focussen we op 18 actiedomeinen die bijdragen tot een duurzame groei.


VBO-NIEUWSBRIEVEN

Schrijf u nu in en ontvang wekelijks de laatste artikelen direct in uw mailbox.