Nadat in juli van dit jaar het Hof van Justitie van de EU zijn tweede Schrems-uitspraak over het Privacy Shield-verdrag en standaardbepalingen had gewezen, ziet de wereld van de internationale doorgifte van gegevens er volstrekt anders uit. Echter, noch het Hof noch de relevante privacywaakhonden voorzagen in een oplossing voor de door het arrest veroorzaakte lacune, waardoor gegevensexporteurs - en ontvangende landen - met de nodige vragen bleven zitten. Dat ligt nu anders.
coauteur: Sophie Hendriks
Het Europees Comité voor Gegevensbescherming [European Data Protection Board (EDPB)] heeft onlangs (concept-)aanbevelingen opgesteld die een oplossing kunnen bieden voor de belangrijkste problemen waarmee bedrijven zich sinds Schrems-II geconfronteerd zien. Zodra deze aanbevelingen zijn aangenomen, dienen alle organisaties wier activiteiten binnen het bereik van de AVG vallen, zich hieraan te houden.
Volgens het EDPB zijn er mogelijk aanvullende maatregelen nodig als de bestaande maatregelen onvoldoende bescherming bieden. Indien ook deze aanvullende maatregelen niet het vereiste beschermingsniveau bieden, moet de doorgifte worden opgeschort. Het is overigens twijfelachtig of deze richtsnoeren in de praktijk veel zullen uitmaken, aangezien het in sommige gevallen simpelweg onmogelijk is om contractueel af te wijken van toepasselijke wetgeving waar de ontvangende partij door gebonden is, wat erop zou neerkomen dat de doorgifte van persoonsgegevens aan die partij onmogelijk is.
In dit artikel vatten wij de voorgestelde aanbevelingen samen en bieden wij suggesties voor implementatie. Zodra de definitieve aanbevelingen bekend zijn, komen we met een update.
In juli van dit jaar zette het Hof van Justitie van de EU niet alleen een streep door het Privacy Shield-verdrag, op grond waarvan bedrijven in de EER persoonsgegevens mochten doorgeven aan ontvangende partijen die bij dat verdrag waren aangesloten. Het HvJ nam meteen de huidige modelcontracten - of standaardbepalingen, een veelvuldig gebruikt instrument om de doorgifte van persoonsgegevens mogelijk te maken - mee in zijn overwegingen. Hoewel het HvJ deze standaardbepalingen geldig achtte, gaf het aan dat de gegevensexporteur voorafgaand aan de doorgifte dient te verifiëren of het derde land waarin de ontvangende partij zich bevindt, hetzelfde beschermingsniveau kan bieden als de AVG. Volgens het HvJ moesten bovendien, waar nodig, aanvullende maatregelen worden genomen.
De eenvoudigste oplossing zou zijn om alle persoonsgegevens binnen de EER te houden. In sommige gevallen is de doorgifte van persoonsgegevens naar landen buiten de EER echter onvermijdelijk. Daarom betwijfelen wij of de nieuwe richtsnoeren wel goed aansluiten bij de huidige praktijk, waarin persoonsgegevens voortdurend worden uitgewisseld. In die gevallen vindt de EDPB echter dat, zodra de aanbevelingen definitief zijn, alle organisaties die gegevens delen met in derde landen gevestigde partijen vóór, tijdens en na de doorgifte het volgende stappenplan zouden moeten volgen. Vanzelfsprekend vallen bestaande doorgiftes hier ook onder.
De bijlage bij de richtsnoeren vermeldt diverse voorbeelden van aanvullende maatregelen die kunnen worden genomen om het beschermingsniveau te waarborgen dat nodig is om rechtsgeldig persoonsgegevens naar een ontvanger in een derde land te kunnen doorgeven.
Het zij hier herhaald dat de door de EDPB opgestelde richtsnoeren nog slechts een conceptversie zijn. Naar verwachting zal de definitieve versie echter niet substantieel verschillen.
Het is al gezegd: de aanbevelingen zijn ook van belang voor organisaties die regelmatig persoonsgegevens ontvangen uit in de EER gevestigde organisaties. Daarom bevelen wij aan om, met de criteria van stap 3 als richtlijn, te evalueren of uw organisatie zich al dan niet te houden heeft aan lokale wetgeving die afbreuk zou kunnen doen aan het door de AVG gewaarborgde beschermingsniveau. Indien dat het geval is, dient te worden bekeken of er maatregelen te nemen zijn die dat risico afdoende kunnen matigen.
Het is al gezegd: de aanbevelingen zijn ook van belang voor organisaties die regelmatig persoonsgegevens ontvangen uit in de EER gevestigde organisaties. Daarom bevelen wij aan om, met de criteria van stap 3 als richtlijn, te evalueren of uw organisatie zich al dan niet te houden heeft aan lokale wetgeving die afbreuk zou kunnen doen aan het door de AVG gewaarborgde beschermingsniveau. Indien dat het geval is, dient te worden bekeken of er maatregelen te nemen zijn die dat risico afdoende kunnen matigen.
Meer artikelen van AKD
