De aanbevelingen van de European Data Protection Board (EDPB) voor de doorgifte van persoonsgegevens naar landen buiten de EU (derde landen) zijn definitief. De aanbevelingen zijn opgesteld om het bedrijfsleven meer duidelijkheid geven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde in de zogeheten Schrems II-uitspraak.

Het gaat om een aangepaste versie van de aanbevelingen, nadat onder meer bedrijven en brancheverenigingen reageerden op het eerder opgestelde concept. 

Aanpassingen

De aanbevelingen zijn op een aantal punten aangepast. Dit zijn twee belangrijke punten:

• De aanbevelingen zijn praktischer van aard geworden. Zo raadt de EDPB bedrijven aan om naar de ervaringen te vragen van de partijen met wie zij zaken doen in het derde land. En deze mee te wegen in de beoordeling of doorgifte mogelijk is en onder welke voorwaarden. Heeft die partij weleens te maken gehad met bijvoorbeeld een inlichtingendienst die persoonsgegevens vorderde?
• De aanbevelingen bevatten voorbeelden van maatregelen (en voorwaarden voor effectiviteit van die maatregelen) die een bedrijf kan nemen om te voorkomen dat Amerikaanse veiligheidsdiensten toegang krijgen tot persoonsgegevens van Europeanen. Volgens een Amerikaanse wet, de Foreign Intelligence Surveillance Act (FISA), hebben die diensten namelijk het recht om mensen van buiten de VS te surveilleren en hun data op te vragen.

Wegvallen Privacy Shield

In juli 2020 concludeerde de hoogste Europese rechter in de Schrems II-uitspraak dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet, ondanks het Privacy Shield. Dat waren de afspraken tussen de EU en de VS op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS.

Deze versturen we 3-4x per jaar.