Wat te doen met het privacy shield dat ongeldig is verklaard, kan ik nu geen persoonsgegevens meer aan de VS doorgeven?

De wat? Nou het zit zo: De Algemene verordening gegevensbescherming (AVG) stelt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte (derde landen), zoals de VS. Dit mag alleen als in die derde landen het door de AVG gewaarborgde beveiligingsniveau voor persoonsgegevens niet wordt ondermijnd. Eerder was er daarom het privacy shield dat toch voldoende bescherming zou bieden en je toch gemakkelijk persoonsgegevens kon doorgeven aan de VS.

Het Hof van Justitie van de Europese Unie (EU) heeft het EU-VS privacy shield echter al even geleden ongeldig verklaard. Dat betekent dat organisaties in de EU geen persoonsgegevens aan de VS meer kunnen doorgeven op grond van dit privacy shield.

De AVG biedt wel alternatieven. De meest gebruikte mogelijkheid is het sluiten van een modelcontract met de ontvanger in het betreffende derde land. Deze door de Europese Commissie opgestelde model contracten zijn door het hof wel geldig bevonden. Maar let op: het hof heeft daaraan wel toegevoegd dat per doorgifte moet worden beoordeeld of het recht van het derde land passende bescherming biedt voor de persoonsgegevens die op basis van dat contract worden doorgegeven. Dat lijkt nu met de val van het Privacy Shield voor de VS niet snel het geval. Je zult als organisatie aldus toch aanvullend moeten zorgen voor waarborging of de doorgifte zal moeten worden gestaakt. De Europese Commissie heeft aangegeven druk bezig te zijn met nieuwe modelcontracten maar echt snel vordert zoiets niet. En om die reden adviseer ik je in elk geval je voordeel te nemen van onderstaande tip 🙂

Tip: Als jij met je onderneming op dit moment persoonsgegevens in of via de VS verwerkt, is het verstandig om in elk geval -zolang er verder nog geen nieuwe modelcontracten en aanvullende waarborgen zijn- de volgende stappen te zetten:

  • Ga na welke persoonsgegevens buiten de EU worden verwerkt. Documenteer dit zorgvuldig (en laat eventueel een risico analyse doen).
  • Is de doorgifte van de persoonsgegevens gebaseerd op het EU-VS Privacy Shield? Vraag welk alternatief de ontvanger biedt. Laat dit ook goed vastleggen.
  • Check de contracten met ontvangers van de persoonsgegevens in de VS. Of beter nog laat deze checken door een jurist!
  • Pas je privacyverklaring aan als daarin wordt verwezen naar EU-VS Privacy Shield.

Heb jij ook een juridische vraag of wil je hierover meer weten? Laat het me weten via gwenny@ge-mek.nl of tel. 0622037358.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.