GDPR: Welke gevolgen heeft het arrest “Schrems II” voor je organisatie?

15/04/2021 - 16:18

GDPR: Welke gevolgen heeft het arrest “Schrems II” voor je organisatie?

Algemeen

Op 16 juli 2020 vernietigde het Europese Hof van Justitie de zogenoemde “Privacy Shield”-overeenkomst tussen de EU en de VS. De uitspraak (het arrest “Schrems II”) brengt heel wat onzekerheid. In de praktijk heeft het ook gevolgen voor je sportfederatie of sportclub, als je gebruikmaakt van Amerikaanse IT-diensten (zoals Google, Mailchimp, ...).

De Oostenrijkse advocaat en privacy-activist Maximiliaan Schrems verzet zich al langer tegen het onrechtmatig doorgeven van persoonsgegevens aan landen buiten de EU.

Doorgifte van persoonsgegevens

De GDPR-regelgeving bepaalt de voorwaarden wanneer je persoonsgegevens mag doorgeven naar landen buiten de EU. Daarin zijn verschillende opties voorzien. De 2 belangrijkste bespreken we voor jou hieronder:

  • Adequaatheidsbesluit: Doorgeven van persoonsgegevens is mogelijk indien de EU besloten heeft dat het betrokken land een passend beschermingsniveau heeft. Dat land wordt dan toegevoegd aan de landen met een adequaatheidsbesluit, eventueel met bijkomende voorschriften of beperkingen.
  • Standard Contractual Clauses of SCC’s: Een contract zorgt voor passende waarborgen bij het doorgeven van persoonsgegevens. Een vaste set van clausules, de SCC’s, wordt dan toegevoegd.

Privacy Shield

Bedrijven in de VS voldoen aan het adequaatheidsbesluit tussen EU en VS, op voorwaarde dat ze ook het 'Privacy Shield' respecteren. Dat Privacy Shield kwam er als reactie op het arrest “Schrems I” uit 2015, dat het toenmalige 'Safe Harbour'-principe voor persoonsgegevens met de VS ongeldig verklaarde.

In het arrest Schrems II van 2020 wordt nu ook het Privacy Shield ongeldig verklaard. Het Europese Hof heeft in het arrest een analyse gemaakt van het rechtstelsel van de VS om na te gaan of dat, samen met de Privacy Shield-voorschriften voldoende waarborgen biedt. In het bijzonder werd de wetgeving met betrekking tot de bevoegdheden van de inlichtingendiensten bekeken (FISA en andere).

Volgens het Europese Hof bevat deze wetgeving te weinig beperkingen voor deze diensten en beperkt ze daarnaast ook de rechten en vrijheden van niet-Amerikaanse burgers.

Om die reden wordt niet voldaan aan de vereisten voor een passend beschermingsniveau en verklaarde het Hof het Privacy Shield ongeldig. Daardoor is de VS sinds juli 2020 niet langer opgenomen in de lijst van landen met een adequaatheidsbesluit.

Bieden de SCC’s dan een alternatief?

Het Europese Hof heeft in hetzelfde arrest aangegeven dat de SCC’s niet per definitie een passend beschermingsniveau geven. Daarbovenop moet het beschermingsniveau van een land, geval per geval, beoordeeld worden.

Wat betekent dat nu concreet?

Schrems II heeft directe en verregaande gevolgen. Is het doorgeven van persoonsgegevens naar de VS (of andere derde landen) nog wel mogelijk? Door het arrest wordt het moeilijker om met zekerheid te zeggen dat alles in orde voor je organisatie.

Bedrijven in de VS verwijzen nog dikwijls naar het Privacy Shield om hun GDPR-beleid te verdedigen, maar in de overeenkomsten staan meestal al de SCC’s opgenomen. Ze zwijgen wel over de controle van het beschermingsniveau van hun land, omdat ze beseffen dat dat de zwakke schakel is in de samenwerking.

Voor de meeste IT-diensten kan je ondertussen vrij eenvoudig een Europees alternatief vinden. Daarom adviseren we je om zoveel mogelijk gebruik te maken van leveranciers uit Europa. Die keuze geeft het minste kopzorgen om in orde te zijn met de privacyregels.

Kies je toch voor een partner in de VS? Zorg dan dat de SCC’s zeker zijn opgenomen in je overeenkomst en documenteer in je verwerkingsregister welke argumenten doorslaggevend waren om toch voor die partner te kiezen.

De laatste updates over dit dossier kan je vinden op de website van de Gegevensbeschermingsauthoriteit.

Algemeen