Een maand geleden oordeelde het Hof van Justitie (HvJ), de hoogste rechter in de EU, in de zaak tussen Schrems en Facebook. De uitspraak – ook wel bekend als het Schrems II-arrest – houdt de gemoederen bezig, met name bij privacy-experts. In deze Frequently Asked Questions (FAQ) leggen we uit wat het HvJ precies heeft geoordeeld, hoe het daartoe kwam en wat de gevolgen zijn van het arrest.
1. Wat oordeelde het HvJ in het Schrems II-arrest?
Het HvJ begint met de beoordeling van de modelcontracten. Het HvJ oordeelt dat de modelcontracten in beginsel geldig zijn en gebruikt kunnen worden. In de modelcontracten verzekert de niet-Europese partij echter dat zijn/haar overheid niet ongeautoriseerd inzage heeft in de persoonsgegevens, zij is dus geen direct alternatief voor het EU-VS Privacy Shield.
Het HvJ verklaart daarom dat het EU-VS Privacy Shield, net als de Safe Harbor Principes, ongeldig is wegens strijdigheid met de AVG.
2. Kan ik nog vertrouwen op het EU-VS Privacy Shield? Is er een overgangsperiode?
Nee, er is geen overgangsperiode. Het EU-VS Privacy Shield is per direct ongeldig verklaard wegens strijdigheid met de AVG. De certificering onder het EU-VS Privacy Shield heeft daarom ook haar betekenis verloren.
3. Kan ik nog gebruikmaken van de Standaardcontracten van de Europese Commissie voor dataoverdracht aan de VS?
In theorie wel, het Hof heeft de Standaardcontracten geldig verklaard.
Deze Standaardcontracten zijn echter slechts in overeenstemming met de AVG wanneer een derde-land (zoals de VS) passende waarborgen biedt voor de verwerking van persoonsgegevens. Deze passende waarborgen moeten overeenkomen met de waarborgen die de AVG biedt.
Het HvJ oordeelde in het arrest dat wetgeving uit de VS deze waarborgen voor de VS onmogelijk maken. Slechts wanneer een partij in de VS niet onder deze wetgeving valt, is de verwerking van persoonsgegevens door die partij in overeenstemming met de AVG. Vrijwel alle juridische entiteiten in de VS die elektronisch gegevens verwerken vallen onder één van deze (of zelfs beide) instrumenten.
Hoewel het in theorie dus mogelijk moet zijn om persoonsgegevens te (laten) verwerken door partijen in de VS, is dit in de praktijk door deze wetgeving onmogelijk gemaakt.
4. Wat zijn mogelijkheden om persoonsgegevens in overeenstemming met de AVG in de VS te (laten) verwerken?
Voor derde landen zoals de VS is de hoofdregel dat doorgifte alleen mogelijk is met een passend beschermingsniveau. Als dat passende beschermingsniveau er niet is, moeten partijen zelf zorgen voor passende waarborgen. De toezichthouders hebben daar invloed op, bijvoorbeeld door middel van de Standaardcontracten of het certificeringsmechanisme waar het EU-VS Privacy Shield onder viel.
De AVG kent daarnaast nog meer mogelijkheden om voor de passende waarborgen te zorgen. Deze zijn te vinden in hoofdstuk V (5) van de AVG, zoals de Binding Corporate Rules of artikel 49 van de AVG. Het is echter onwaarschijnlijk dat deze mogelijkheden volstaan.
5. Hoe reageren toezichthouders in Europa op het nieuws?
De EDPB heeft een eigen FAQ uitgebracht en beraamt zich op maatregelen die nodig zijn om doorgifte aan de VS mogelijk te maken, bijvoorbeeld met modelcontracten.
De AP heeft nog geen uitspraken gedaan, maar volgt de ontwikkelingen bij de EDPB.
6. Hoe reageert de VS op het nieuws?
De enige Amerikaanse reactie komt van de ‘Minister van Handel’ Wilbert Ross. In essentie handhaven de Amerikaanse autoriteiten het EU-VS Privacy Shield, inclusief certificering. Daarbij wordt gewezen op het belang van de 5.300 deelnemers aan het EU-VS Privacy Shield.
7. Praktische vragen:
- Geldt deze uitspraak ook voor cookies van mijn website?
Deze beslissing geldt voor elke doorgifte van persoonsgegevens aan de VS, dus ook doorgifte van cookies met persoonsgegevens. Voor cookies zonder persoonsgegevens, zoals bij functionele cookies, geldt de uitspraak niet en kan doorgifte aan de VS doorgang vinden. - Mag ik (zakelijk) nog gebruikmaken van sociale media?
Sociale media van Amerikaanse bedrijven gebruiken vrijwel allemaal het EU-VS Privacy Shield, deze diensten vallen dus ook binnen het bereik van de uitspraak. In beginsel is het gebruik van deze sociale media dus niet meer toegestaan zonder extra passende waarborgen. - Hoe zit het met dataoverdracht binnen het concern van mijn onderneming?
Moederondernemingen met dochterondernemingen in de VS moeten terughoudend zijn met doorgifte van persoonsgegevens aan de dochteronderneming. We raden daarom altijd aan om zo veel mogelijk met geaggregeerde gegevens te werken.
We weten niet zeker wat de status is van dochterondernemingen van Amerikaanse moederondernemingen. Heeft u hier vragen over? Dan kunnen wij u hierover adviseren.
- Mijn host-leverancier is een Amerikaanse partij met servers in de EU, mag ik nog gebruikmaken van deze diensten?
Dat ligt erg aan de host-leverancier, bijvoorbeeld of er een Europese dochteronderneming bestaat die de hosting voor rekening neemt. Verder is de afhankelijkheid van de Amerikaanse moederonderneming van belang. De CLOUD Act is mogelijk van toepassing op de data van de leverancier.
Alleen bij een Europese partij zonder Amerikaanse moederonderneming heeft u zekerheid over de toepassing van Amerikaanse wetgeving. Heeft u hier vragen over? Dan kunnen wij u hierover adviseren.
- Kan ik boetes verwachten als gevolg van dit arrest?
Strikt genomen is doorgifte van persoonsgegevens aan de VS snel in overtreding met de AVG. Dat betekent dat een boete mogelijk is. Die boete kan bovendien erg fors zijn, tot 4% van uw wereldwijde omzet.
Wij kunnen nooit boetes uitsluiten, maar de verwachting is niet dat toezichthouders direct organisaties gaan beboeten voordat de EDPB duidelijkheid heeft gegeven over de maatregelen voor doorgifte aan de VS.
Wel raden we u aan om zo veel mogelijk persoonsgegevens binnen de EER te blijven of gaan verwerken. Nieuwe doorgiftes naar de VS zijn voorlopig erg riskant zonder extra maatregelen. Wilt u advies op maat, dan kunt u contact met ons opnemen via 088 616 00 10.