De AVG geldt voor alle landen binnen de Europese Economische Ruimte (EER). Het Privacy Shield is een zogenoemd adequaatheidsbesluit. De Europese Commissie heeft voor een aantal landen (of sectoren) buiten de EER adequaatheidsbesluiten genomen, waarmee wordt aangegeven dat de betreffende landen (of sectoren) een binnen de AVG passend beschermingsniveau hebben. Zo kunnen ook buiten de EER ‘veilig’ persoonsgegevens worden uitgewisseld. Het Privacy Shield is overigens een adequaatheidsbesluit dat niet geldt voor de gehele Verenigde Staten, maar alleen voor organisaties die zich expliciet bij het Privacy Shield hebben aangesloten.
Volgens het Hof van Justitie biedt het Privacy Shield echter onvoldoende bescherming bij de verwerking van persoonsgegevens in contact met organisaties in de Verenigde Staten. In de kern ligt de reden daarvan in het feit dat Amerikaanse inlichtingen- en veiligheidsdiensten het recht hebben om de persoonsgegevens (van EU-burgers) te gebruiken. Dat betekent dat dit verdrag geen basis meer kan zijn voor het legitiem uitwisselen van persoonsgegevens met de Verenigde Staten.
In feite werpt dit veel bedrijven binnen de EU (eigenlijk binnen de EER) voorlopig terug op het gebruik van zogenoemde modelcontracten. Er zijn in totaal drie modelcontracten, die kunnen worden gebruikt om volgens standaardclausules afspraken te maken tussen organisaties die persoonsgegevens willen uitwisselen. Die zijn echter niet ideaal. Op dit moment wordt er door de European Data Protection Board gekeken naar verbetering van die modelcontracten.
Bekijk het persbericht van het Hof van Justitie.
Gepubliceerd op 17 augustus 2020 door
Edwin Werner