Publication
06-09-2021

Doorgifte van persoonsgegevens buiten de EU na Schrems II

In mijn blog van 29 juli 2021 heb ik toegelicht dat sinds de invoering van de Algemene Verordening Gegevensbescherming (“AVG” of in het Engels: “GPDR”) het mogelijk werd om vrij gemakkelijk persoonsgegevens binnen de EU te delen. Aangezien niet ieder land een gelijkwaardig beschermingsniveau voor persoonsgegevens kent, heeft de AVG regels gesteld aan de doorgifte van Europese persoonsgegevens buiten de EU.

Om persoonsgegevens buiten de EU te mogen delen, moet de verwerkingsverantwoordelijke of verwerker die deze gegevens wil doorgeven passende waarborgen treffen ter bescherming van de persoonsgegevens. Deze passende waarborgen kunnen bestaan uit het toepassen van standard contractual clauses (“SCC’s”) of bindende bedrijfsvoorschriften. Is het treffen van passende waarborgen genoeg om de doorgifte te kunnen laten plaatsvinden? Niet indien het land van de ontvanger van de persoonsgegevens geen gelijkwaardig beschermingsniveau heeft.

Eén van die landen waar geen gelijkwaardig beschermingsniveau is, is de Verenigde Staten (“VS”). Tot 16 juli 2020 gold er een EU-VS Privacy Shield (“Privacy Shield”). Dit Privacy Shield hield in dat als de ontvanger van de persoonsgegevens in de VS deel uitmaakte van het Privacy Shield (waarvoor de ontvanger aan de door het Privacy Shield gestelde voorwaarden voor de bescherming van persoonsgegevens moest voldoen), er sprake was van een passende waarborgen en de data-export vanuit de EU aan deze ontvanger mocht plaatsvinden.

In de uitspraak van het Hof van Justitie in Schrems II van 16 juli 2020 verklaarde het Hof van Justitie het Privacy Shield nietig. Ook hier hebben wij eerder een blog over geschreven. Door deze uitspraak kon met onmiddellijke ingang het Privacy Shield niet langer worden gebruikt om persoonsgegevens te delen met een ontvanger in de VS. Wel kan nog steeds de SCC’s of bindende bedrijfsvoorschriften worden toegepast voor een doorgifte aan de VS.

Dit is echter niet voldoende. Omdat de VS geen gelijkwaardig beschermingsniveau heeft, moeten er niet alleen passende waarborgen worden getroffen voor de data-export, maar óók aanvullende waarborgen, zo overwoog het Hof van Justitie in Schrems II. Wat deze aanvullende waarborgen precies moesten inhouden, was echter lang onduidelijk.

Daar is nu verandering in gekomen. De European Data Protection Board (“EDPB”), de Europese toezichthouder op het gebied van bescherming van persoonsgegevens, heeft op 18 juni 2021 aanbevelingen (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) gepubliceerd over welke aanvullende maatregelen getroffen kunnen worden om de data-export naar de VS alsnog te laten plaatsvinden. Deze aanbevelingen kunnen hier worden geraadpleegd.

In deze aanbevelingen geeft de EDPB een stappenplan om te bepalen of een land een gelijkwaardig beschermingsniveau heeft en of er – naast de passende waarborgen - ook nog aanvullende waarborgen moeten worden getroffen. Daarnaast geeft de EDPB aanbevelingen over wat als aanvullende waarborgen kunnen worden beschouwd. Voorbeelden van deze aanvullende waarborgen zijn encryptie of pseudonimisering van de persoonsgegevens, waarbij de encryptiesleutel in de EU blijft. Indien het land van de ontvanger geen gelijkwaardig beschermingsniveau heeft en er geen aanvullende waarborgen kunnen worden getroffen ten aanzien van de data-export, dan mag de data-export in beginsel niet plaatsvinden of moet een reeds uitgevoerde data-export worden gestaakt.

Mocht u nog vragen hebben naar aanleiding van het bovenstaande of hulp nodig hebben bij het beoordelen of aanvullende waarborgen getroffen moeten worden bij een doorgifte van persoonsgegevens buiten de EU, neem dan gerust contact op met Larissa Peereboom-Bogers.