Onlangs heeft het Europese Hof van Justitie een belangrijke uitspraak gedaan op het gebied van de Algemene Verordening Gegevensbescherming (AVG). De AVG bevat regels voor het verzamelen en gebruiken van persoonsgegevens. Deze uitspraak is relevant voor leden die persoonsgegevens doorgeven aan partijen in de Verenigde Staten. En dat doet u bijvoorbeeld vaak al als u gebruik maakt van Amerikaanse diensten zoals bijvoorbeeld Microsoft, Dropbox, Gmail, Outlook, LinkedIn, Facebook en Pinterest.

Wat is er aan de hand? In de VS konden bedrijven zich aansluiten bij het zogenaamde Privacy Shield. Beschikte een bedrijf over een Privacy Shield certificaat, dan was de privacy van de personen wiens gegevens deze bedrijven verwerkten voldoende gewaarborgd. Het Europese Hof heeft dit Privacy Shield nu ongeldig verklaard. Doorgifte van persoonsgegevens aan partijen in de VS is daardoor ernstig bemoeilijkt.

Strikt genomen levert doorgifte aan de VS op dit moment een overtreding van de AVG op.

Een mogelijke oplossing hiervoor is om een door de Europese Commissie voorgeschreven contract te sluiten met het Amerikaanse bedrijf aan wie gegevens worden doorgegeven. Zo’n contract zal echter moeten worden aangevuld met technische, juridische of organisatorische maatregelen om de privacy daadwerkelijk te kunnen waarborgen. Op Europees niveau wordt op dit moment bekeken wat voor soort aanvullende maatregelen dit dan zouden kunnen zijn. Of een goedgekeurd contract een haalbare oplossing is voor de praktijk, zal o.a. moeten blijken uit de aanvullende maatregelen die moeten worden getroffen. Metaalunie houdt de ontwikkelingen uiteraard nauwlettend in de gaten.

Om u alvast voor te bereiden op een oplossing, raden wij u aan te inventariseren of u persoonsgegevens aan partijen in de VS doorgeeft. Let u er daarbij op dat een partij aan wie u persoonsgegevens doorgeeft ook een zogenaamde ‘verwerker’ kan zijn. Een verwerker is een bedrijf dat van u een opdracht heeft gekregen die in de kern ziet op het verwerken van persoonsgegevens. Denkt u bijvoorbeeld aan cloud- of hostingproviders of een externe loonadministrateur. Dit kan ook een Nederlands of Europees bedrijf zijn, dat echter wel gebruik maakt van de diensten van Amerikaanse partijen. Gegevens gaan dan pas verderop in de keten naar Amerika, maar u bent daar nog steeds wel verantwoordelijk voor.

Wilt u dus zeker weten dat u handelt in overeenstemming met de privacyregels, dan bent u op dit moment genoodzaakt over te stappen naar Europese dienstverleners, die de persoonsgegevens binnen de EER opslaan. Overstappen zal echter niet altijd mogelijk, eenvoudig of wenselijk zijn. Vanuit de autoriteiten wachten wij op nadere berichtgeving over eventuele andere oplossingen. Zodra hierover meer bekend is, zullen wij u uiteraard informeren.