Het gebeurde midden in de vakantietijd, maar wellicht heeft u er toch iets van mee gekregen. Op 16 juli 2020 heeft het Europees Hof van Justitie, de hoogste rechter van Europa, het Privacy Shield als gegevenswaarborg onrechtmatig verklaard. “Privacy Shield, wat is dat?” hoor ik u zeggen. Hoewel vaak onbekend, toch van belang. Ik neem u daarom mee in deze uitspraak en de consequenties daarvan. En waarom het belangrijk is dat u weet welke gegevens u waar verwerkt of laat verwerken.

Op grond van de AVG bent u verantwoordelijk voor een zorgvuldige en rechtmatige omgang met persoonsgegevens, ook als u die persoonsgegevens aan derde partijen verstrekt. De wet zegt dat u gegevens alleen buiten de EU/EER mag verstrekken of laten verwerken (bijvoorbeeld opslaan) als in het ontvangende land een passend bescherming is of dat u daar passende waarborgen voor treft. Dit om te voorkomen dat de rechten die de AVG biedt worden ondergraven. De Europese Commissie heeft een lijst* opgesteld met landen die een gegevensbeschermingsniveau bieden die vergelijkbaar is met de AVG. Voor Amerika geldt hierbij specifiek dat de ontvangende Amerikaanse organisatie het Privacy Shield moet hebben ondertekend.

Het Hof van Justitie heeft op 16 juli jl. nu verklaard dat deze certificering – met onmiddellijke ingang – onrechtmatig is. Belangrijkste reden is dat Amerikaanse overheidsdiensten (bijvoorbeeld inlichtingendiensten) toegang kunnen krijgen tot gegevens die in Amerika worden opgeslagen. Het gevolg hiervan is dat gegevensverstrekkingen aan Amerikaanse organisaties die gebaseerd waren op het Privacy Shield vanaf die datum ook onrechtmatig zijn.

Om wat voor partijen gaat dit eigenlijk?
Het gaat om partijen die op grond van Amerikaanse wetgeving verplicht zijn gegevens te delen met bijvoorbeeld inlichtingendiensten. Dit gaat in ieder geval om zogenaamde ‘Electronic communication providers’. U kunt dan denken aan partijen die cloud-opslag, e-maildiensten of internetdiensten regelen. Hieronder vallen heel veel partijen bijvoorbeeld cloud-providers (bijv. Microsoft of Dropbox), cookie-leveranciers (bijvoorbeeld Google, Facebook) of e-maildienstverleners (bijvoorbeeld Mailchimp).

Hoe nu verder?

Lees hier het artikel verder.