Persoonsgegevens opslaan buiten de EU, pas op!

Persoonsgegevens opslaan buiten de EER, mag dat eigenlijk nog wel? Een grensoverschrijdende juridische discussie die na maar liefst 5 (!) jaar afgelopen juli tot een verrassende uitspraak heeft geleid…

Het Hof van Justitie heeft namelijk geconcludeerd dat de VS onvoldoende bescherming biedt om de privacy op ons (EER) niveau te kunnen waarborgen… Ben jij ondernemer en weet jij wat jij wel en niet mag delen (buiten de EER)?

EER staat voor de Europese Economische Ruimte en gaat over alle EU-landen plus Liechtenstein, Noorwegen en IJsland.

Het begint allemaal… bij Facebook

De Oostenrijkse privacy activist Maximilian Schrems klaagde in 2015 over het doorzetten van zijn persoonsgegevens door Facebook Ierland aan haar moederbedrijf Facebook in de VS. De VS bood volgens Schrems geen passende bescherming voor zijn persoonsgegevens en privacy in het algemeen.

Mag Facebook, mag jij, de persoonsgegevens doorzetten?

Doorgifte van persoonsgegevens naar derde landen is toegestaan zolang er een wettelijke basis is. De meest voorkomende zijn:

  • Een besluit van de Europese Commissie waarbij de Europese Commissie bepaalt dat een specifieke land een passend niveau van bescherming biedt; en
  • Het gebruik van het modelcontract van de Europese Commissie. Die overeenkomst bevat bepalingen ter bescherming van persoonsgegevens.

De vraag is of het delen van persoonsgegevens op basis van één van deze grondslagen voldoende is.

Het Hof van Justitie bepaalt: Facebook VS heeft ongelijk

Facebook VS meende de persoonsgegevens toch te mogen verwerken op basis van het ‘Privacy Shield’-verdrag en het modelcontract van de Europese Commissie. Het ‘Privacy Shield’-verdrag is een voorbeeld van een besluit dat door de Europese Commissie wordt genomen.

Het Hof van Justitie kwam echter op 16 juli 2020 tot de conclusie dat de VS onvoldoende bescherming biedt om de privacy te waarborgen volgens het niveau dat wij in de EER handhaven. Dit kwam met name omdat de overheid in de VS zo goed als onbeperkt toegang heeft tot persoonsgegevens.

Het Hof van Justitie heeft het ‘Privacy Shield’-verdrag zelfs ongeldig verklaard en heeft bepaald dat enkel toepassing van het modelcontract niet voldoende is.

Actie voor alle ondernemers!

Het Hof van Justitie legt de Algemene Verordening Gegevensbescherming (AVG) zo uit, dat je als onderneming zelf moet controleren of je buitenlandse contractspartij wel het beschermingsniveau kan waarborgen. Het gaat dan om een beschermingsniveau dat gelijkwaardig is aan het beschermingsniveau in de EER op basis van de AVG. Voor Facebook Ierland betekende dit dat zij  persoonsgegevens niet langer mochten delen met Facebook VS.

Als je persoonsgegevens deelt met een onderneming buiten de EER, onderzoek dan of de Europese Commissie een besluit heeft genomen over dat land. Het besluit bevat een oordeel over het niveau van bescherming dat een bepaald land biedt en of dit voldoende is. Is dat niet het geval, dan kun je de bepalingen in de modelcontracten van de Europese Commissie toepassen. Dit houdt ook in dat je erop toeziet dat het beschermingsniveau daadwerkelijk wordt geboden en gewaarborgd. Die lat ligt erg hoog.

Ons advies: beperk het delen

Ons advies is om – waar mogelijk – het delen van persoonsgegevens te beperken tot de grenzen van de EER.

Twijfel je of jouw contractpartner wel het vereiste beschermingsniveau biedt? Wil je gericht advies voor jouw situatie? Neem gerust contact met mij op, dan kijken we er samen naar.