Blog

Internationale doorgifte: modelcontracten en Privacy Shield

Met de komst van de Algemene Verordening Gegevensbescherming zijn de regels rondom de verwerking en bescherming van persoonsgegevens binnen de Europese Unie (‘EU’) grotendeels geharmoniseerd. Dat betekent dat organisaties binnen de Europese Unie in beginsel met een gerust hart persoonsgegevens kunnen uitwisselen. Buiten Nederland en andere lidstaten van de EU is de privacywetgeving vaak minder […]

Met de komst van de Algemene Verordening Gegevensbescherming zijn de regels rondom de verwerking en bescherming van persoonsgegevens binnen de Europese Unie (‘EU’) grotendeels geharmoniseerd. Dat betekent dat organisaties binnen de Europese Unie in beginsel met een gerust hart persoonsgegevens kunnen uitwisselen.

Buiten Nederland en andere lidstaten van de EU is de privacywetgeving vaak minder strikt. De doorgifte van persoonsgegevens naar landen buiten de EU behoeft daarom bijzondere aandacht. Doorgifte aan derde landen is namelijk alleen rechtmatig als daarvoor de juiste waarborgen zijn getroffen of hiervoor expliciete toestemming is gegeven.

Modelcontracten

Een voorbeeld van zo’n waarborg is het afsluiten van de zogenoemde EU Standard Contractual Clauses. Ook wel modelcontracten genoemd. Belangrijk om te weten is dat deze modelcontracten in beginsel niet mogen worden gewijzigd door partijen. Er wordt veelvuldig gebruik gemaakt van deze contracten als het gaat om internationale doorgifte van persoonsgegevens, onder meer omdat deze modelcontracten eenvoudig te vinden zijn op de website van de Europese Commissie.

De vraag is echter of en hoelang deze modelcontracten nog rechtsgeldig worden geacht. Max Schrems is namelijk van oordeel dat deze modelcontracten onvoldoende bescherming bieden aan de privacy van Europese Burgers. De Ierse High Court heeft hierover inmiddels een aantal belangrijke prejudiciële vragen gesteld aan de hoogste Europese rechter: het Hof van Justitie van de Europese Unie (‘HvJ EU’). Wij wachten deze uitspraak met belangstelling af.

Privacy Shield

Eerder bewerkstelligde Schrems al dat het Safe Harbor verdrag, waarop de doorgifte van persoonsgegevens tussen de EU en de VS was gebaseerd, ongeldig werd verklaard door het HvJ EU . Dit leidde uiteindelijk tot de totstandkoming van een geheel nieuw verdrag tussen de EU en de VS: het Privacy Shield. Echter is ook over dit nieuwe verdrag momenteel veel te doen.

In een resolutie van 5 juli heeft het Europees Parlement namelijk een oproep gedaan aan de Europese Commissie om het Privacy Shield op te schorten, omdat het Europese burgers onvoldoende bescherming zou bieden. Het Parlement maakt zich met name zorgen over de recentelijk aangenomen Amerikaanse Cloud Act, waardoor de Amerikaanse opsporingsdiensten toegang kunnen krijgen tot persoonsgegevens die in de EU zijn opgeslagen. Ook het Facebook/Cambridge Analytica schandaal heeft het Europees Parlement weinig vertrouwen gegeven. Tot slot meldde de Financial Times kort geleden nog dat Eurocommissaris Jourova een brief zou hebben gestuurd aan het Witte Huis waarin zij aangeeft dat de VS uiterlijk in oktober een Ombudsman moet hebben benoemd. Deze ombudsman moet toezicht houden op en klachten behandelen over het Privacy Shield. Als dit niet tijdig gebeurt, zal de EU het Privacy Shield mogelijk intrekken.

Dit kan grote gevolgen hebben voor de ruim 3000 bedrijven die inmiddels gecertificeerd zijn onder het Privacy Shield en natuurlijk ook voor de organisaties die persoonsgegevens met deze bedrijven uitwisselen. Kortom, het is het zaak om deze ontwikkelingen nauwlettend in de gaten te houden als uw organisatie persoonsgegevens uitwisselt met landen buiten de EU, en meer specifiek de VS.

Meer informatie?

Wilt u meer weten over de internationale doorgifte van persoonsgegevens? Neem dan contact op met een van onze specialisten.

Auteur

Expertises

Deel dit artikel

Meer blogs

Data Act: onterecht onderbelicht!

De Data Act (Verordening (EU) 2023/2854) is met ingang van 12 september 2025 rechtstreeks van toepassing in de hele Europese Unie (EU). De Data Act is specifiek gericht op het reguleren van de toegang tot en het delen van data binnen de EU, met als doel innovatie te stimuleren en eerlijke concurrentie te waarborgen.

/LEES MEER

Data Act: onterecht onderbelicht!

De Data Act (Verordening (EU) 2023/2854) is met ingang van 12 september 2025 rechtstreeks van toepassing in de hele Europese Unie (EU). De Data Act is specifiek gericht op het reguleren van de toegang tot en het delen van data binnen de EU, met als doel innovatie te stimuleren en eerlijke concurrentie te waarborgen.

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

/LEES MEER

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.

/LEES MEER

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.