Privacy Shield ongeldig verklaard door het Europese Hof van Justitie

‍‍Vandaag, 16 juli 2020, heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard. Het Privacy Shield is een overeenkomst tussen de EU en de VS, waarin is bepaald dat indien een organisatie in de VS zich heeft aangesloten bij dit Privacy Shield er een adequate bescherming van de privacy is. Dat betekent dat onder het Privacy Shield de doorgifte van gegevens van Europese burgers naar bedrijven die gevestigd zijn in de Verenigde Staten is toegestaan. De bescherming van rechten en vrijheden van die Europese burgers zou dan voldoende gewaarborgd zijn. Niet dus! In het arrest van het Europese Hof is bepaald dat die bescherming niet aanwezig is en dat het Privacy Shield dus ongeldig is. Doorgifte van persoonsgegevens naar de VS op basis van Standaard Contractbepalingen (SCC) blijft wel toegestaan.

‍
De redenen voor ongeldigheid
Het arrest van het Europese Hof is de uitkomst van de rechtszaak die Max Schrems voerde tegen Facebook Ierland. Al eerder, in 2015, werd Safe Harbor ongeldig verklaard. Dat was de voorganger van het Privacy Shield. Het Privacy Shield zelf is nu ook ongeldig. Het Hof noemt als belangrijkste redenen dat de beperkingen op de privacy die volgen uit Amerikaanse regelgeving onvoldoende afgebakend en niet evenredig zijn en daarom een te grote inbreuk vormen op de privacy. Het gaat dan om de interne regelgeving over surveillance op basis waarvan Amerikaanse overheidsinstanties haast onbeperkte toegang hebben tot persoonsgegevens die door Amerikaanse bedrijven worden verwerkt. Er is in ieder geval geen beperking tot het strikt noodzakelijke. De Amerikaanse werkwijze is daarmee direct in strijd met de beginselen uit de Algemene Verordening Gegevensbescherming (AVG).
Daarnaast is er geen mogelijkheid voor een burger om zijn recht te halen. Er zijn geen beroepsmogelijkheden en er is onvoldoende transparantie. Dat betekent dat er een gebrek is aan rechtsbescherming en geen controle op de juistheid van de verwerkingen kan plaatsvinden. Maar een burger kan dus ook niet optreden tegen een inbreuk op zijn of haar privacyrechten.

‍

Hoe nu verder?
De impact van deze uitspraak is aanzienlijk. Veel organisaties verwijzen naar het Privacy Shield wanneer gebruik wordt gemaakt van internationale leveranciers van diensten of software. En er zijn natuurlijk tal van clouddiensten waar dit op van toepassing is. De doorgifte naar de VS van bepaalde persoonsgegevens zou met de aansluiting op het Privacy Shield rechtmatig zijn. Dat is nu dus niet meer het geval. Er is nog wel een alternatief waarover het Hof ook een uitspraak heeft gedaan, namelijk de Standaard Contractsbepalingen (SCC). Die blijven geldig en dat betekent dus dat een overeenkomst op basis van deze bepalingen wel de benodigde waarborgen kan bieden. De vraag is echter of dat ook geldt voor doorgifte naar de VS of bijvoorbeeld China. De partij aan wie de gegevens worden doorgegeven moet immers garanderen dat de waarborgen ook daadwerkelijk van toepassing zijn. En dat is nu dus juist niet het geval.
Dan blijven eigenlijk alleen Binding Corporate Rules (BCR) nog over. Maar die zijn alleen geschikt voor grote internationale bedrijven, dus niet zomaar voor iedere organisatie. En als je BCR wilt laten goedkeuren geldt daarvoor momenteel bij de Autoriteit Persoonsgegevens een doorlooptijd van zo’n 5 jaar….

‍
Conclusie: op dit moment lijkt er eigenlijk geen adequate oplossing voorhanden. Gezien de uitspraak van het Europese Hof lijkt voortbouwen op de SCC het beste. Maar zolang de VS geen veranderingen in haar surveillance regelgeving aanbrengt blijft er een gebrek aan adequate bescherming van burgers van wie gegevens worden doorgegeven naar de VS.