Met de komst van de Algemene Verordening Gegevensbescherming zijn de regels rondom de verwerking en bescherming van persoonsgegevens binnen de Europese Unie (‘EU’) grotendeels geharmoniseerd. Dat betekent dat organisaties binnen de Europese Unie in beginsel met een gerust hart persoonsgegevens kunnen uitwisselen.
Buiten Nederland en andere lidstaten van de EU is de privacywetgeving vaak minder strikt. De doorgifte van persoonsgegevens naar landen buiten de EU behoeft daarom bijzondere aandacht. Doorgifte aan derde landen is namelijk alleen rechtmatig als daarvoor de juiste waarborgen zijn getroffen of hiervoor expliciete toestemming is gegeven.
Modelcontracten
Een voorbeeld van zo’n waarborg is het afsluiten van de zogenoemde EU Standard Contractual Clauses. Ook wel modelcontracten genoemd. Belangrijk om te weten is dat deze modelcontracten in beginsel niet mogen worden gewijzigd door partijen. Er wordt veelvuldig gebruik gemaakt van deze contracten als het gaat om internationale doorgifte van persoonsgegevens, onder meer omdat deze modelcontracten eenvoudig te vinden zijn op de website van de Europese Commissie.
De vraag is echter of en hoelang deze modelcontracten nog rechtsgeldig worden geacht. Max Schrems is namelijk van oordeel dat deze modelcontracten onvoldoende bescherming bieden aan de privacy van Europese Burgers. De Ierse High Court heeft hierover inmiddels een aantal belangrijke prejudiciële vragen gesteld aan de hoogste Europese rechter: het Hof van Justitie van de Europese Unie (‘HvJ EU’). Wij wachten deze uitspraak met belangstelling af.
Privacy Shield
Eerder bewerkstelligde Schrems al dat het Safe Harbor verdrag, waarop de doorgifte van persoonsgegevens tussen de EU en de VS was gebaseerd, ongeldig werd verklaard door het HvJ EU . Dit leidde uiteindelijk tot de totstandkoming van een geheel nieuw verdrag tussen de EU en de VS: het Privacy Shield. Echter is ook over dit nieuwe verdrag momenteel veel te doen.
In een resolutie van 5 juli heeft het Europees Parlement namelijk een oproep gedaan aan de Europese Commissie om het Privacy Shield op te schorten, omdat het Europese burgers onvoldoende bescherming zou bieden. Het Parlement maakt zich met name zorgen over de recentelijk aangenomen Amerikaanse Cloud Act, waardoor de Amerikaanse opsporingsdiensten toegang kunnen krijgen tot persoonsgegevens die in de EU zijn opgeslagen. Ook het Facebook/Cambridge Analytica schandaal heeft het Europees Parlement weinig vertrouwen gegeven. Tot slot meldde de Financial Times kort geleden nog dat Eurocommissaris Jourova een brief zou hebben gestuurd aan het Witte Huis waarin zij aangeeft dat de VS uiterlijk in oktober een Ombudsman moet hebben benoemd. Deze ombudsman moet toezicht houden op en klachten behandelen over het Privacy Shield. Als dit niet tijdig gebeurt, zal de EU het Privacy Shield mogelijk intrekken.
Dit kan grote gevolgen hebben voor de ruim 3000 bedrijven die inmiddels gecertificeerd zijn onder het Privacy Shield en natuurlijk ook voor de organisaties die persoonsgegevens met deze bedrijven uitwisselen. Kortom, het is het zaak om deze ontwikkelingen nauwlettend in de gaten te houden als uw organisatie persoonsgegevens uitwisselt met landen buiten de EU, en meer specifiek de VS.