Het Hof heeft bepaald dat het Privacy Shield niet voldoet aan de eisen die de AVG stelt aan de privacybescherming van EU-burgers in de VS. Dit komt door Amerikaanse surveillancewetgeving. Binnen die wetgeving heeft de Amerikaanse overheid namelijk de mogelijkheid om bijna onbeperkt persoonsgegevens van EU-burgers te verzamelen. Daarnaast hebben EU-burgers geen toegang tot een onafhankelijke Amerikaanse rechtbank om zich te beroepen op hun privacyrechten. 

Het Privacy Shield is een overeenkomst – ook wel het adequaatheidsbesluit genoemd – tussen de Europese Unie (EU) en de Verenigde Staten (VS). In deze overeenkomst is bepaald dat een op het Privacy Shield aangesloten organisatie uit de VS moet zorgen voor een adequate bescherming van de privacy. Dit betekent dat op basis van de AVG is toegestaan om vanuit de EU persoonsgegevens naar die organisatie in de VS te sturen.  

Door de uitspraak is het Privacy Shield tussen de EU en de VS ongeldig. Dit betekent dat het doorgeven van persoonsgegevens naar de VS niet is toegestaan. Deze uitspraak is belangrijk voor scholen die gebruikmaken van Amerikaanse (sub)verwerkerkers.  In dat geval worden er mogelijk persoonsgegevens doorgegeven. 

Vrouw achter laptop
Omdat sommige leveranciers van scholen in Amerika gevestigd zijn, heeft de uitspraak over het Privacy Shield ook mogelijke gevolgen voor uw school.

Standaardcontractbepalingen bieden uitkomst

Ook het gebruik van Standaard Contractbepalingen (SCC) kwam aan bod. En dan ging het vooral over het doorgeven van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER); we noemen dat ook wel derde landen. Het afsluiten van SCC is, naast een adequaatheidsbesluit, één van de mogelijkheden binnen de AVG om persoonsgegevens naar een derde land te mogen doorgeven.

Volgens het Hof van Justitie kan dit op zich leiden tot een goede bescherming van de privacy, maar wel onder aanvullende voorwaarden. Alle partijen uit de EU die persoonsgegevens verzenden aan een partij in een derde land, moeten er zeker van zijn dat de wetgeving de betrokken partijen (de partij in de EU die persoonsgegevens verzendt en de partij in het derde land die de persoonsgegevens ontvangt) moeten er in dat geval zeker van zijn dat de wetgeving van het derde land voldoet aan de eis van adequate bescherming van de privacy. Dit betekent dat de wetgeving in het derde land een vergelijkbare privacybescherming moet bieden als de wetgeving in de EU. Het is erg belangrijk dat dit voor het afsluiten van de overeenkomst onderzocht wordt, maar ook wordt gecontroleerd zolang er gegevens worden doorgegeven en/of opgeslagen in het derde land.

Wat betekent deze uitspraak?

Het Hof heeft in de uitspraak over het Privacy Shield aangegeven dat de Amerikaanse wetgeving niet voldoet. Door deze uitspraak, moet het doorgeven van persoonsgegevens naar de VS (bijvoorbeeld naar een verwerkers, subverwerkers of andere ontvangende partijen) direct worden gestaakt. De uitzondering is als er alsnog goede afspraken worden gemaakt, bijvoorbeeld in de vorm van SCC. 

Voor scholen is het nu vooral belangrijk om geen nieuwe verwerkersovereenkomsten of gegevensuitwisselingsovereenkomsten met organisaties uit de VS af te sluiten, waarbij het doorgeven van persoonsgegevens naar de VS is gebaseerd op het Privacy Shield. 

Het doorgeven van persoonsgegevens naar de VS of andere derde landen op basis van een SCC kan in principe nog wel. Maar het is wel belangrijk dat er regelmatig gecontroleerd wordt of de wetgeving van het derde land voldoet aan de privacywetgeving in de EU. 

Door de uitspraak worden alle bedrijven en organisaties in de EU, die persoonsgegevens doorgeven naar de VS op basis van het Privacy Shield (en mogelijk ook op basis van SCC), door deze uitspraak geraakt. De Autoriteit Persoonsgegevens heeft aangegeven in gesprek te zijn met de andere  toezichthoudende autoriteiten over de praktische gevolgen van deze uitspraak en eventuele mogelijke vervolgstappen. 

Wat kunt u als IBP-functionaris voor uw school doen? 

En hoe zit dat dan met persoonsgegevens die u al doorgeeft naar de VS? Op dit moment kunt u niet veel doen. Bijna alle organisaties en bedrijven binnen Europa hebben hiermee te maken en dit kan niet door een organisatie alleen worden opgelost. Ons advies is om berichtgeving van onder andere de Autoriteit Persoonsgegevens goed in de gaten te houden. Uiteraard volgt Kennisnet de ontwikkelingen ook en onderzoeken we hoe we in samenwerking met scholen dit vraagstuk kunnen agenderen bij leveranciers. Wanneer er meer te vertellen is over dit onderwerp, informeren wij u op kennisnet.nl. 

Meer informatie

Meer weten over de uitspraak?

Deel Uitspraak over het Privacy Shield heeft mogelijk gevolgen voor uw school

Delen
  • LinkedIn
  • Twitter
  • Facebook
  • E-mail