Europese Commissie keurt nieuw adequaatheidsbesluit goed voor veilige en vertrouwde gegevensstromen tussen EU en VS

 14 juli 2023 | Blog

Op 10 juli 2023 heeft de Europese Commissie het adequaatheidsbesluit voor het nieuwe EU-U.S. Data Privacy Framework (“DPF”) goedgekeurd. Het besluit bevestigt dat de Verenigde Staten een passend beschermingsniveau garanderen – dat vergelijkbaar is met dat van de EU – voor persoonsgegevens die naar Amerika worden doorgegeven. Op basis van dit nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig worden doorgegeven van de EU naar bedrijven en organisaties in de VS die deelnemen aan het DPF, zonder dat er nog extra waarborgen voor de gegevensbescherming nodig zijn.

Achtergrond datadoorgifte buiten de EU

Persoonsgegevens mogen vanuit Nederland, of elders binnen de EU, alleen naar een land buiten de EU worden doorgegeven als dat land voldoende bescherming biedt. Dat is bijvoorbeeld het geval wanneer de Europese Commissie heeft besloten dat het derde land een passend beschermingsniveau waarborgt. Een dergelijk besluit van de Europese Commissie wordt een adequaatheidsbesluit genoemd.

Het DPF is al het derde uitwisselingsmechanisme dat wordt afgegeven voor de VS. In de VS is de bescherming van persoonsgegevens immers niet hetzelfde geregeld als binnen de EU. De Europese Commissie besloot daarom al in juli 2000 dat doorgifte van persoonsgegevens naar organisaties in de VS was toegestaan indien deze organisaties zich verbonden aan de zogenaamde ‘Safe Harbour Privacy Principles’. In oktober 2015 werd dit Safe Harbour-regime echter ongeldig verklaard door het Europese Hof van Justitie (“HvJ EU”) in de Schrems-I uitspraak, omdat het regime toch onvoldoende bescherming kon garanderen. In juli 2016 gaf de Europese Commissie haar instemming voor het EU-VS Privacy Shield, de opvolger van het Safe Harbour-regime. Het Privacy Shield werd in de Schrems-II uitspraak van juli 2020 tevens ongeldig verklaard door het HvJ EU, aangezien ook dit niet de bescherming bood die de AVG vereist.

EU- U.S. Data Privacy Framework

Met de goedkeuring van het DPF wordt aldus antwoord gegeven op het ongeldig verklaren van het Privacy Shield en wordt opnieuw een adequaatheidsbesluit voor de VS afgegeven. Het DPF moet de tekortkomingen die in het Privacy Shield werden geconstateerd wegnemen. Een van de grootste tekortkoming was dat Amerikaanse inlichtingen- en veiligheidsdiensten het recht hadden om persoonsgegevens van EU-burgers in te zien en te gebruiken. Dat is opgelost sinds president Joe Biden een executive order heeft ondertekend, waarmee grenzen worden gesteld aan welke gegevens inlichtingendiensten mogen verzamelen en daarnaast ook meer toezicht wordt gehouden op die inlichtingendiensten. Een van de belangrijkste waarborgen uit het DPF is dan ook dat de toegang tot EU-gegevens door Amerikaanse inlichtingen- en veiligheidsdiensten wordt beperkt tot wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen.

Verder zijn er onder het DPF meer mogelijkheden voor burgers in de EU wanneer hun gegevens niet correct worden verzameld en verwerkt door Amerikaanse bedrijven. Zo wordt in Amerika een onafhankelijke en onpartijdige rechterlijke instantie voor gegevensbescherming opgericht, de “Data Protection Review Court” (“DPRC”). EU-burgers zullen hier toegang toe krijgen en kunnen hier eventuele klachten indienen met betrekking tot het verzamelen van hun gegevens in het kader van nationale veiligheidsdoeleinden. De DPRC zal de klachten vervolgens onafhankelijk onderzoeken en oplossen, onder meer door bindende corrigerende maatregelen te treffen. Als het DPRC bijvoorbeeld vaststelt dat persoonsgegevens zijn verwerkt in strijd met de nieuwe waarborgen, kan het de verwijdering van die gegevens gelasten. Daarnaast hoeven burgers bij klachten niet meer eerst aan te tonen dat hun gegevens daadwerkelijk verzameld zijn door een bedrijf of organisatie in de VS. Daardoor kunnen Europeanen voortaan ook bezwaar aantekenen tegen de verwerking van hun persoonsgegevens door Amerikaanse bedrijven in de EU in plaats van de VS. Dit is mogelijk via de European Data Protection Board (“EDPB”).  

Bedrijven en organisaties in de VS kunnen zich aansluiten bij het DPF door zich ertoe te verbinden om te voldoen aan een aantal specifieke privacy verplichtingen. Dat zijn bijvoorbeeld de verplichtingen om persoonsgegevens te wissen indien ze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld en om de continuïteit van de bescherming te waarborgen wanneer persoonsgegevens met derden worden gedeeld. Deze door de VS ingestelde waarborgen zijn ook van toepassing wanneer persoonsgegevens worden doorgegeven met behulp van andere instrumenten dan het adequaatheidsbesluit, zoals standaardcontractbepalingen en bindende bedrijfsvoorschriften. De trans-Atlantische gegevensstromen zullen daarom in algemene zin worden vergemakkelijkt.  

Indien persoonsgegevens worden doorgegeven naar partijen in de VS die niet zijn aangesloten bij het DPF of naar andere landen waar geen adequaatheidsbesluit geldt, dan zijn de aanbevelingen van de EDPB die zien op maatregelen ter aanvulling van doorgifte-instrumenten ook nog steeds van toepassing. De aanbevelingen zijn opgesteld om gegevensexporteurs te helpen bij de complexe taak van het beoordelen of het derde land een voldoende beschermingsniveau biedt en het waar nodig vaststellen van passende aanvullende maatregelen.

Volgende stappen

De Europese Commissie zal periodiek kijken naar de toepassing en het functioneren van het DPF. Zij doet dit samen met vertegenwoordigers van Europese gegevensbeschermingsautoriteiten en bevoegde autoriteiten uit de VS. Binnen een jaar na de inwerkingtreding van het adequaatheidsbesluit zal de eerste evaluatie plaatsvinden, waarbij wordt nagegaan of alle relevante maatregelen volledig in het rechtskader van de VS zijn geïmplementeerd en of deze in de praktijk ook effectief blijken te zijn. Indien nodig, zullen wijzigingen of verbeteringen worden aangebracht.

Volgens Ursula von der Leyen, voorzitter van de Europese Commissie, zal het nieuwe DPF zorgen voor veilige gegevensstromen voor Europeanen en rechtszekerheid bieden aan bedrijven aan beide zijden van de Atlantische oceaan. Ondanks veel positieve geluiden, is er ook al de nodige kritiek geleverd op het adequaatheidsbesluit. Privacy activist Max Schrems, die met zijn stichting NOYB al jaren vecht tegen datadoorgiftes en de aanleiding gaf voor de Schrems I en II uitspraken waarin het Safe Harbour-regime en het Privacy Shield ongeldig werden verklaard, zegt het nu wederom niet eens te zijn met het nieuwe adequaatheidsbesluit. Hij vindt het DPF ‘grotendeels een kopie van het gefaalde Privacy Shield’ en verwacht dan ook dat het binnen enkele maanden alweer bij het Europese Hof van Justitie komt te liggen. Het is dus nog maar de vraag of we lang gebruik kunnen maken van het DPF.

Conclusie

Europa en Amerika lagen lang met elkaar overhoop over de strengere regels van privacybescherming in de EU. Het DPF lijkt daarom een positief kantelpunt en zou grotere (economische) kansen moeten bieden voor zowel bedrijven in Europa als de VS. Persoonsgegevens kunnen immers weer veilig worden doorgegeven aan organisaties en bedrijven in de VS die aan het DPF deelnemen, zonder dat er nog extra waarborgen voor de bescherming van die gegevens moeten worden genomen. Dat is nuttig, nu veel grote tech-bedrijven en IT-dienstverleners zich in de VS bevinden of banden hebben met de VS en derhalve mogelijk gegevens opslaan in de VS.

In de praktijk zal nu moeten blijken of het DPF ook daadwerkelijk effectief is en een voldoende beschermingsniveau kan garanderen. Je zou toch haast denken dat dat wel het geval moet zijn na het ongeldig verklaren van de twee voorgaande adequaatheidsbesluiten. Driemaal is immers scheepsrecht. Of toch niet, als we privacy activist Max Schrems moeten geloven?!

Op 10 juli 2023 heeft de Europese Commissie het adequaatheidsbesluit voor het nieuwe EU-U.S. Data Privacy Framework (“DPF”) goedgekeurd. Het besluit bevestigt dat de Verenigde Staten een passend beschermingsniveau garanderen – dat vergelijkbaar is met dat van de EU – voor persoonsgegevens die naar Amerika worden doorgegeven. Op basis van dit nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig worden doorgegeven van de EU naar bedrijven en organisaties in de VS die deelnemen aan het DPF, zonder dat er nog extra waarborgen voor de gegevensbescherming nodig zijn.

Achtergrond datadoorgifte buiten de EU

Persoonsgegevens mogen vanuit Nederland, of elders binnen de EU, alleen naar een land buiten de EU worden doorgegeven als dat land voldoende bescherming biedt. Dat is bijvoorbeeld het geval wanneer de Europese Commissie heeft besloten dat het derde land een passend beschermingsniveau waarborgt. Een dergelijk besluit van de Europese Commissie wordt een adequaatheidsbesluit genoemd.

Het DPF is al het derde uitwisselingsmechanisme dat wordt afgegeven voor de VS. In de VS is de bescherming van persoonsgegevens immers niet hetzelfde geregeld als binnen de EU. De Europese Commissie besloot daarom al in juli 2000 dat doorgifte van persoonsgegevens naar organisaties in de VS was toegestaan indien deze organisaties zich verbonden aan de zogenaamde ‘Safe Harbour Privacy Principles’. In oktober 2015 werd dit Safe Harbour-regime echter ongeldig verklaard door het Europese Hof van Justitie (“HvJ EU”) in de Schrems-I uitspraak, omdat het regime toch onvoldoende bescherming kon garanderen. In juli 2016 gaf de Europese Commissie haar instemming voor het EU-VS Privacy Shield, de opvolger van het Safe Harbour-regime. Het Privacy Shield werd in de Schrems-II uitspraak van juli 2020 tevens ongeldig verklaard door het HvJ EU, aangezien ook dit niet de bescherming bood die de AVG vereist.

EU- U.S. Data Privacy Framework

Met de goedkeuring van het DPF wordt aldus antwoord gegeven op het ongeldig verklaren van het Privacy Shield en wordt opnieuw een adequaatheidsbesluit voor de VS afgegeven. Het DPF moet de tekortkomingen die in het Privacy Shield werden geconstateerd wegnemen. Een van de grootste tekortkoming was dat Amerikaanse inlichtingen- en veiligheidsdiensten het recht hadden om persoonsgegevens van EU-burgers in te zien en te gebruiken. Dat is opgelost sinds president Joe Biden een executive order heeft ondertekend, waarmee grenzen worden gesteld aan welke gegevens inlichtingendiensten mogen verzamelen en daarnaast ook meer toezicht wordt gehouden op die inlichtingendiensten. Een van de belangrijkste waarborgen uit het DPF is dan ook dat de toegang tot EU-gegevens door Amerikaanse inlichtingen- en veiligheidsdiensten wordt beperkt tot wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen.

Verder zijn er onder het DPF meer mogelijkheden voor burgers in de EU wanneer hun gegevens niet correct worden verzameld en verwerkt door Amerikaanse bedrijven. Zo wordt in Amerika een onafhankelijke en onpartijdige rechterlijke instantie voor gegevensbescherming opgericht, de “Data Protection Review Court” (“DPRC”). EU-burgers zullen hier toegang toe krijgen en kunnen hier eventuele klachten indienen met betrekking tot het verzamelen van hun gegevens in het kader van nationale veiligheidsdoeleinden. De DPRC zal de klachten vervolgens onafhankelijk onderzoeken en oplossen, onder meer door bindende corrigerende maatregelen te treffen. Als het DPRC bijvoorbeeld vaststelt dat persoonsgegevens zijn verwerkt in strijd met de nieuwe waarborgen, kan het de verwijdering van die gegevens gelasten. Daarnaast hoeven burgers bij klachten niet meer eerst aan te tonen dat hun gegevens daadwerkelijk verzameld zijn door een bedrijf of organisatie in de VS. Daardoor kunnen Europeanen voortaan ook bezwaar aantekenen tegen de verwerking van hun persoonsgegevens door Amerikaanse bedrijven in de EU in plaats van de VS. Dit is mogelijk via de European Data Protection Board (“EDPB”).  

Bedrijven en organisaties in de VS kunnen zich aansluiten bij het DPF door zich ertoe te verbinden om te voldoen aan een aantal specifieke privacy verplichtingen. Dat zijn bijvoorbeeld de verplichtingen om persoonsgegevens te wissen indien ze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld en om de continuïteit van de bescherming te waarborgen wanneer persoonsgegevens met derden worden gedeeld. Deze door de VS ingestelde waarborgen zijn ook van toepassing wanneer persoonsgegevens worden doorgegeven met behulp van andere instrumenten dan het adequaatheidsbesluit, zoals standaardcontractbepalingen en bindende bedrijfsvoorschriften. De trans-Atlantische gegevensstromen zullen daarom in algemene zin worden vergemakkelijkt.  

Indien persoonsgegevens worden doorgegeven naar partijen in de VS die niet zijn aangesloten bij het DPF of naar andere landen waar geen adequaatheidsbesluit geldt, dan zijn de aanbevelingen van de EDPB die zien op maatregelen ter aanvulling van doorgifte-instrumenten ook nog steeds van toepassing. De aanbevelingen zijn opgesteld om gegevensexporteurs te helpen bij de complexe taak van het beoordelen of het derde land een voldoende beschermingsniveau biedt en het waar nodig vaststellen van passende aanvullende maatregelen.

Volgende stappen

De Europese Commissie zal periodiek kijken naar de toepassing en het functioneren van het DPF. Zij doet dit samen met vertegenwoordigers van Europese gegevensbeschermingsautoriteiten en bevoegde autoriteiten uit de VS. Binnen een jaar na de inwerkingtreding van het adequaatheidsbesluit zal de eerste evaluatie plaatsvinden, waarbij wordt nagegaan of alle relevante maatregelen volledig in het rechtskader van de VS zijn geïmplementeerd en of deze in de praktijk ook effectief blijken te zijn. Indien nodig, zullen wijzigingen of verbeteringen worden aangebracht.

Volgens Ursula von der Leyen, voorzitter van de Europese Commissie, zal het nieuwe DPF zorgen voor veilige gegevensstromen voor Europeanen en rechtszekerheid bieden aan bedrijven aan beide zijden van de Atlantische oceaan. Ondanks veel positieve geluiden, is er ook al de nodige kritiek geleverd op het adequaatheidsbesluit. Privacy activist Max Schrems, die met zijn stichting NOYB al jaren vecht tegen datadoorgiftes en de aanleiding gaf voor de Schrems I en II uitspraken waarin het Safe Harbour-regime en het Privacy Shield ongeldig werden verklaard, zegt het nu wederom niet eens te zijn met het nieuwe adequaatheidsbesluit. Hij vindt het DPF ‘grotendeels een kopie van het gefaalde Privacy Shield’ en verwacht dan ook dat het binnen enkele maanden alweer bij het Europese Hof van Justitie komt te liggen. Het is dus nog maar de vraag of we lang gebruik kunnen maken van het DPF.

Conclusie

Europa en Amerika lagen lang met elkaar overhoop over de strengere regels van privacybescherming in de EU. Het DPF lijkt daarom een positief kantelpunt en zou grotere (economische) kansen moeten bieden voor zowel bedrijven in Europa als de VS. Persoonsgegevens kunnen immers weer veilig worden doorgegeven aan organisaties en bedrijven in de VS die aan het DPF deelnemen, zonder dat er nog extra waarborgen voor de bescherming van die gegevens moeten worden genomen. Dat is nuttig, nu veel grote tech-bedrijven en IT-dienstverleners zich in de VS bevinden of banden hebben met de VS en derhalve mogelijk gegevens opslaan in de VS.

In de praktijk zal nu moeten blijken of het DPF ook daadwerkelijk effectief is en een voldoende beschermingsniveau kan garanderen. Je zou toch haast denken dat dat wel het geval moet zijn na het ongeldig verklaren van de twee voorgaande adequaatheidsbesluiten. Driemaal is immers scheepsrecht. Of toch niet, als we privacy activist Max Schrems moeten geloven?!