blog

Persoonsgegevens verstrekken aan Amerikaanse leverancier: mag dat nog?

5 min leestijd23 dec 2020

Maak je gebruik van een dienst of applicatie afkomstig van een Amerikaanse leverancier, zoals bijvoorbeeld Microsoft Outlook of verstuur je nieuwsbrieven via MailChimp? Dan is er sprake van het doorgeven van persoonsgegevens aan de VS. Het Hof van Justitie van de Europese Unie heeft hierover een belangrijke uitspraak gedaan die hoogstwaarschijnlijk ook voor jou geldt.

Carolien Lasonder

jurist, mediator

Bekijk meer

Het Hof van Justitie van de Europese Unie heeft het EU-VS Privacy Shield op 28 juli 2020 ongeldig verklaard in een rechtszaak bekend onder de naam ‘Schrems II’. Dat betekent dat je als organisatie niet zomaar meer persoonsgegevens aan de Verenigde Staten (VS) kan doorgeven op grond van het Privacy Shield. Is er nu reden tot paniek?

Doorgeven van persoonsgegevens

In de Algemene verordening gegevensbescherming (AVG) staat dat het doorgeven van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER), ook wel derde landen genoemd, is toegestaan wanneer aan specifieke voorwaarden is voldaan. Het Privacy Shield was een vorm van certificering waarmee je persoonsgegevens aan de VS mocht verstrekken. Volgens de privacy activist Maximillian Schrems was er echter met het Privacy Shield nog steeds onvoldoende bescherming aanwezig voor Europese persoonsgegevens wanneer deze door Amerikaanse organisaties werden verwerkt. Schrems en velen anderen, zijn namelijk van mening dat de Amerikaanse overheid te makkelijk en op grote schaal data kan inzien en gebruiken. In deze zaak bepleitte Schrems daarom dat er geen persoonsgegevens vanuit Facebook Ierland mochten worden doorgegeven aan het moederbedrijf in de VS, omdat zijn privacy daar gewoonweg niet gewaarborgd kan worden. Het Hof is hierin meegegaan en heeft het Privacy Shield ongeldig verklaard. Maar wat betekent dit nu concreet?

Aanvullende waarborgen

Nu het Hof heeft bepaald dat de VS geen passend beschermingsniveau biedt, moeten ondernemers naar andere mogelijkheden kijken om het doorgeven van persoonsgegevens rechtsgeldig voort te kunnen zetten. Denk hierbij aan bindende bedrijfsvoorschriften, modelcontracten, een gedragscode of certificering. In veel gevallen wordt dat echter een lastig verhaal. Je moet aanvullende waarborgen treffen. Wat deze aanvullende waarborgen inhouden, is echter nog niet vastgesteld. De European Data Protection Board (EDPB) komt binnenkort met informatie hierover. Deze informatie komt dan ook op de website van de Autoriteit Persoonsgegevens te staan. De EDPB heeft in de tussentijd alvast veelgestelde vragen gepubliceerd, die mogelijk voor iets meer duidelijk kunnen zorgen. We houden de ontwikkelingen op dit gebied voor je in gaten.

Nog geen reden tot paniek

Uiteindelijk heeft deze uitspraak per direct gevolgen voor de praktijk. Elke organisatie die zaken doet met een Amerikaanse leverancier, doet er goed aan om zichzelf de vraag te stellen: ‘is het echt noodzakelijk om persoonsgegevens naar de VS te sturen, of heb ik een Europees alternatief?’ Voor nu is er geen reden tot paniek. Er is bijna géén organisatie te bedenken die niet te maken heeft met gegevensverwerkingen in de VS. Mijn advies is: wees je in ieder geval bewust van de ontwikkelingen omtrent het Privacy Shield en kijk kritisch naar jouw persoonsgegevens die aan een Amerikaanse leverancier verstrekt worden Als je een Europees alternatief hebt, is het beter om daar gebruik van te maken. Ga in gesprek met je leverancier en probeer samen tot een oplossing te komen.

Disclaimer

Dit blog schetst de algemene regels en uitgangspunten. Uiteraard kan er in specifieke situaties sprake zijn van uitzonderingen. Heeft u vragen over dit onderwerp, dan kunt u altijd contact opnemen met een van onze specialisten.  

jurist, mediator

Carolien Lasonder

Ik ben een ervaren jurist, MfN Mediator en coördinator van DAS Professional Services gericht op de zakelijke markt. Voor wie regelmatig juridische vragen heeft, op zoek is naar een in-house jurist of hulp nodig heeft bij een ...

Meer artikelen van Carolien Lasonder

Ook interessant voor je


 Privacyverklaring voorbeeld: wat moet er allemaal in staan?
12 jun 20243 min leestijd

Privacyverklaring voorbeeld: wat moet er allemaal in staan?

Heb je een website en verzamel je persoonsgegevens? Dan ben je verplicht om gebruikers hierover te informeren. Dat doe je met een privacyverklaring. In dit blog leggen we uit wat er allemaal in zo'n privacyverklaring moet staan.


 "Wat je niet hebt", hoef je niet te beschermen"
03 mrt 20233 min leestijd

"Wat je niet hebt", hoef je niet te beschermen"

Met de toename van cybercriminaliteit en datalekken is gegevensbescherming belangrijker dan ooit. Alle reden om het belang privacy in de spotlights te zetten.


 Waarom is privacywetgeving zo belangrijk voor mij als ondernemer?
10 jan 20224 min leestijd

Waarom is privacywetgeving zo belangrijk voor mij als ondernemer?

Alles over privacy wetgeving voor jou als ondernemer.

1 van 3