Onlangs heeft het Europees Hof uitspraak gedaan in de zaak Maximillian Schrems vs. Facebook Ireland. Het Europees Hooggerechtshof heeft hiermee in feite het Privacy Shield grotendeels ongeldig verklaard.

Data uitsluitend in de EU.

Klanten van Lemontree hoeven zich geen zorgen te maken. Wij hebben onze dienstverlening vanaf het begin al opgetuigd rondom het principe dat data in Europa moet “staan” en bieden daarom geen diensten aan die vallen onder het regime van het EU-VS Privacy Shield. Ook rondom de Brexit hebben wij al in 2018 actie ondernomen om de in het Verenigd Koninkrijk aanwezige diensten te verplaatsen naar de EU. In het algemeen geldt dat zakelijke klanten van Microsoft diensten (Office 365, Microsoft 365, Azure enz.) de diensten kunnen blijven gebruiken omdat Microsoft haar klanten naast het geschrapte EU-VS Privacy Shield ook onder Standard Contractual Clauses (SCC) bescherming biedt. Deze SCC’s zijn volgens het Europees Hof nog steeds gewoon geldig, al heeft het Hof wel aanbevolen dat deze SCC’s uitgeplozen moeten worden of die effectieve mechanismen bevatten om te zorgen dat de GDPR wordt nageleefd. Klik hier voor meer informatie.

Wat betekent dit voor jou?

Voor opdrachtgevers van Lemontree geldt dat de Azure en Microsoft/Office 365 diensten zich in Nederland bevinden en dat een back-up van die diensten in Ierland (EU) plaatsvindt. Er zijn dus geen gegevens die onder het EU-VS Privacy Shield vallen, waardoor ook de vragen rondom de SCC’s niet relevant zijn voor onze klanten.

Toelichting.

Schrems, een Oostenrijks staatsburger, heeft bij de Ierse toezichthoudende autoriteit een klacht ingediend en in essentie verzocht om de doorgifte van zijn persoonsgegevens naar Amerikaanse servers van Facebook te verbieden. Hij heeft aangevoerd dat het in de Verenigde Staten geldende recht en de daar gangbare praktijk geen waarborgen bieden voor voldoende bescherming tegen de toegang door de overheid tot de naar dit land doorgegevens gegevens. Initieel is deze klacht ongeldig verklaard omdat de Europese Commissie in Safe Harbour had vastgelegd dat de Verenigde Staten een voldoende beschermingsniveau waarborgden om privacy te garanderen. Schrems liet het daar echter niet bij zitten met als gevolg dat Safe Harbour in 2015 ongeldig is verklaard door het Europees Hof. Daarop heeft de Europese Commissie via besluit 2016/1250 de gepastheid van de door het EU-VS privacyschild geboden bescherming (Privacy Shield) vastgesteld, maar ook dat besluit is dus grotendeels ongeldig verklaard.

Deze uitspraak heeft vooral gevolgen voor Amerikaanse organisaties die hun diensten in de EU aanbieden en waarvan de verwerking of opslag (deels) op Amerikaans grondgebied plaats vindt.