11 augustus 2020 – Het Hof van Justitie van de Europese Unie (EU) heeft op 16 juli 2020 het EU-US Privacy Shield als basis voor doorgifte van persoonsgegevens naar de Verenigde Staten ongeldig verklaard. Dit betekent dat er geen persoonsgegevens meer uitgewisseld mogen worden tussen Europa en de VS.
Het Hof heeft de geldigheid van het Privacy Shield getoetst aan de eisen van de AVG in de Schrems II zaak. Zij constateerde dat het Privacy Shield bepaalt dat de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben boven de AVG en het Handvest van de Europese Unie.
Het EU-US Privacy Shield gold als een voorbeeld van een adequaatheidsbesluit. Organisaties in de VS die zich hadden gecertificeerd middels het Privacy Shield, zouden een passend beschermingsniveau voor de verwerking van persoonsgegevens bieden. Op basis van de Privacy Shield certificering waren organisaties gerechtigd persoonsgegevens door te geven aan de VS (mits aan alle overige privacywetgeving is voldaan). Het doel van het Privacy Shield was een beschermingsniveau te garanderen dat in grote lijnen overeenkomt met het niveau binnen de EU.
Grote Amerikaanse partijen zijn vaak aangesloten bij het Privacy Shield. Denk aan de techbedrijven, social mediabedrijven maar ook cookieleveranciers. Nu het Privacy Shield ongeldig is verklaard, mogen persoonsgegevens vanuit Europa alleen aan Amerikaanse partijen worden doorgegeven indien op een andere manier een passend niveau van rechtsbescherming kan worden gewaarborgd. Of de standaard contractuele bepalingen hiervoor gebruikt kunnen worden is hoogst twijfelachtig. Geldt daarvoor immers niet dezelfde redenatie die ten grondslag ligt aan het einde van Privacy Shield?
Deze uitspraak heeft grote gevolgen voor de doorgifte van persoonsgegevens naar de VS. Met het ongeldig verklaren van het Privacy Shield mogen persoonsgegevens vanuit Europa alleen aan Amerikaanse partijen worden doorgegeven indien op een andere manier een passend niveau van rechtsbescherming kan worden gewaarborgd.
Voor Nederlandse organisaties geldt dat zij de doorgifte van persoonsgegevens aan de VS kritisch onder de loep moeten nemen. Indien doorgifte op basis van het Privacy Shield plaatsvond, moet er óf gestopt worden met deze doorgifte, óf een alternatieve grondslag worden aangewend voor de doorgifte.
De European Data Protection Board (EDPB) bekijkt wat de praktische gevolgen zijn van de uitspraak. En wat eventuele vervolgstappen kunnen zijn. Op korte termijn komt de EDPB met guidance over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.