Het Privacy Shield ongeldig verklaard, problemen voor AVG
Op 16-7-2020 heeft Europees Hof van Justitie bepaald dat persoonsgegevens in de VS minder goed zijn beschermd dan in de EU. Het Privacy Shield is daarmee ongeldig verklaard (de zaak Schrems II).
In het geval van de Verenigde Staten is dat beschermingsniveau niet te garanderen. Feitelijk mogen Europese bedrijven nu geen persoonsgegevens meer doorgeven aan bedrijven in de VS. Denk hierbij aan Social Media bedrijven maar ook Microsoft, Google, Apple en allerhande clouddiensten zoals bedrijven die u cookies laat plaatsen via uw website.
Uitspraak Hof
Het Hof van Justitie stelt dat het Privacy Shield onvoldoende bescherming kan garanderen. Dat komt omdat, op grond van de Amerikaanse wetgeving, de inlichtingen- en veiligheidsdiensten daar het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. Dit is niet beperkt tot strikt noodzakelijk gegevens.
Schrems II zaak
De Oostenrijkse Maximillian Schrems heeft ongeveer 5 jaar geleden ervoor gezorgd dat Safe Harbor (de voorganger van het Privacy Shield) ongeldig is verklaard. Na deze uitspraak bleef Schrems van mening dat er geen passende bescherming is voor doorgifte van persoonsgegevens aan de Verenigde Staten. Ook het Privacy Shield bood volgens hem onvoldoende bescherming tegen het datagraaien van de Amerikaanse inlichtingendiensten.
Het Europese Hof heeft een oordeel geveld over doorgifte van persoonsgegevens op basis van het Privacy Shield en de standaardbepalingen van de Europese Commissie.
Privacy Shield
Amerikaanse overheidsinstanties kunnen toegang verkrijgen tot persoonsgegevens die vanuit Europa naar de Verenigde Staten worden doorgestuurd. En hierdoor, zo vindt het Hof, biedt het Privacy Shield onvoldoende bescherming. Bescherming van privacy waar personen op basis van de AVG wel degelijk recht op hebben. Daarnaast worden aan personen geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten toegekend. De (veel te laat) aangestelde ombudsman biedt hier ook niet voldoende waarborgen. Het Hof concludeert dan ook dat het Privacy Shield ongeldig is.
De gevolgen voor u
Wat de exacte gevolgen hier praktisch van zijn moet nog blijken. Data opgeslagen in een cloudomgeving van Microsoft, Google of ander techbedrijf met een kantoor in de Verenigde Staten voldoet door deze uitspraak niet aan de AVG/GDPR.
Weet u waar al uw data wordt opgeslagen?
Lees hier meer over de AVG en hoe Independent-IT u kan helpen.