Het Hof van Justitie van de Europese Unie (EU) heeft het EU-VS privacy shield (privacyschild) ongeldig verklaard in de zaak Schrems II. Dat betekent dat organisaties in de EU geen persoonsgegevens aan de Verenigde Staten (VS) meer kunnen doorgeven op grond van het privacy shield. De gevolgen voor ondernemers die actief zijn in e-commerce zijn groot.
In Europa geldt de Algemene verordening gegevensbescherming (AVG). Deze stelt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte (derde landen), zoals de VS.
Dit mag alleen als in die derde landen het door de AVG gewaarborgde beveiligingsniveau voor persoonsgegevens niet wordt ondermijnd.
De AVG noemt een aantal mogelijkheden om dit te bewerkstelligen. Hiervan staan er 2 ter discussie in de zaak Schrems II:
-
doorgifte op basis van een adequaatheidsbesluit (in dit geval: het privacy shield-verdrag tussen de EU en de VS);
-
doorgifte op basis van modelcontracten (ook wel standaardbepalingen, standard contractual clausesof SCC's genoemd).
De eerste mogelijkheid, via het Privacy Shied, is dus ongeldig verklaard.
Wat houdt dit precies in?
De gevolgen zijn groot voor Europese (online) ondernemers. In principe is elke Amerikaanse Cloud/Saas oplossing, waar op welke manier dan ook klantgegevens worden opgeslagen, niet langer geschikt om gebruik van te maken. Tenzij jij of je leverancier een modelcontract hanteert. En dat gaat veel verder dan je denkt.
"Bedrijven en organisaties die gebruikmaakten van het Privacy Shield om data naar de Verenigde Staten te sturen, moeten onmiddellijk handelen nu de regeling van tafel is geveegd. Er is geen bedenktijd, meldt het Europees Comité voor gegevensbescherming (EDPB) op zijn website." (via Nu.nl)
Onderstaande video van Stef van der Ziel geeft je in slechts 9 minuten een goede samenvatting van wat dit betekent voor jou en je bedrijf.
Wat moet ik nu doen?
"Wanneer ook het Privacy Shield ongeldig wordt verklaart, dan heeft dit gevolgen voor Europese bedrijven. En de kans dat het HvJ-EU Privacy Shield van tafel veegt is zeker aanwezig. Europese organisaties mogen dan niet langer gegevens uitwisselen met Amerikaanse bedrijven op grond van Privacy Shield. Gegevens uitwisselen met Amerikaanse bedrijven gaat makkelijker dan je denkt: neem nu Microsoft of Google. Alleen het gebruik van diensten van deze giganten is in veel gevallen al het uitwisselen van persoonsgegevens. Europese organisaties die persoonsgegevens uitwisselen met Amerikaanse bedrijven zullen na de val van het Privacy Shield moeten uitwijken naar alternatieven zoals modelcontracten. " (Bron: The Privacy Officers)
Dat betekent dat je:
-
Als onderneming in kaart moeten brengen welke Amerikaanse Cloud diensten je gebruikt (bewust en onbewust): wie zijn partijen waarmee je data uitwisselt?
-
Deze Amerikaanse diensten voor zover mogelijk moet vervangen door Europese alternatieven (binnen de EU).
-
De bezoekers van jouw webshop(s) hierover moet informeren, door je privacyverklaring aan te passen. Laat ze weten dat je deze situatie serieus neemt.
-
Houd de toezichthouder(s) in de gaten: check regelmatig de website van de European Data Protection Board en de Autoriteit Persoonsgegevens.
Meer weten over wat je kunt doen?
-
Lees er meer over in het Schrems II actieplan via deze website: https://www.ictrecht.nl/schrems-actielijst-faq
-
Op de website van ICT-juristen Legalz vind je een concreet verhaal over de stappen die je moet nemen: https://www.legalz.nl/blog/privacy-shield-actieplan
Wij houden je via de website, onze socials en de Experius update op de hoogte over de ontwikkelingen.