Spring naar content

Een korte terugblik: hoe zat het ook alweer?

in 2020 vernietigde het Europees Hof het Privacy Shield (het toen geldende adequaatheidsbesluit), waarmee in één klap alle doorgiftes naar de VS illegaal werden. Reden hiervoor was de strijdigheid van nationale wetgeving in de VS met de Algemene Verordening Gegevensbescherming (AVG) in Europa. Amerikaanse inlichtingendiensten hadden namelijk op basis van die wetgeving te brede bevoegdheden om persoonsgegevens van Europese burgers in te zien. Europese burgers konden dit niet aanvechten bij de rechter.

Sinds de uitspraak van het Europees Hof vond doorgifte naar de VS nog via zogeheten Standard Contractual Clauses (SCC’s) plaats. Deze modelcontracten van de Europese Commissie waren voor het gros van de organisaties de enige overgebleven manier om data door te geven. Maar ook de SCC’s kwamen sinds het begin van 2022 onder druk te staan, toen meerdere toezichthouders oordeelden dat de modelcontracten niet in lijn met de AVG waren bij het gebruik van Google Analytics.

Geopolitieke oplossing

Inmiddels is er al een lange tijd een juridisch vacuüm waarin er vanuit toezichthouders, wetgevers en rechters geen duidelijkheid wordt geboden. Europese (maar ook Amerikaanse) organisaties roeien daarom al een tijdje met de riemen die ze hebben, maar weten niet waar ze aan toe zijn. Het enige wat deze situatie op lijkt te kunnen lossen is een verandering van de nationale wetgeving in de VS.

Na de aankondiging vroeg in 2022 over het opzetten van een nieuw Privacy Shield (2.0) tussen Europa en de VS kwam hiervoor in oktober het startschot. Amerikaans president Biden ondertekende een presidentieel decreet waarmee de nationale regels in de VS werden aangepast. Speerpunten: nieuwe en scherpere aanwijzingen voor Amerikaanse inlichtingendiensten en een klachtenmechanisme met een ‘rechtbank’ waar Europese burgers terecht kunnen.

Conceptvoorstel

Het presidentiële decreet, en de daaruit vloeiende verplichtingen en wijzigingen, waren de aanleiding voor de Europese Commissie om een nieuw voorstel op te stellen voor een adequaatheidsbesluit: het EU-US Data Privacy Framework. In dit conceptvoorstel concludeert de Europese Commissie dat er met het decreet een gelijkwaardig beschermingsniveau is bij het delen van persoonsgegevens met organisaties in de VS. Om in de toekomst gebruik te kunnen maken van het Data Privacy Framework dienen Amerikaanse organisaties zich aan te sluiten door te voldoen aan een aantal privacy-verplichtingen (zoals het waarborgen van bescherming bij het delen van data met een derde partij).

Vervolgstappen

Het conceptvoorstel van de Europese Commissie gaat nu het adoptieproject in. Dat betekent dat het voorstel onder andere langs het Europees Parlement gaat. Ook de Europese koepel van privacy toezichthouders (EDPB) gaat het voorstel beoordelen, maar de Europese Commissie is niet gebonden aan dit oordeel. Daarmee is het de verwachting dat na het afronden van dit beoordelingsproces de Europese Commissie het Data Privacy Framework snel aanneemt (begin 2023).

Dit zou een mooie opsteker zijn voor de sector, aangezien hiermee na lange tijd weer compliant data kan worden gedeeld met partijen in de VS. Toch zijn we er dan nog niet wat betreft de juridische spanning in dit dossier. De verwachting is namelijk dat privacy-activist Max Schrems het nieuwe adequaatheidsbesluit gaar aanvechten bij de Europese rechter, zoals hij dat ook deed bij het Privacy Shield. In een verklaring heeft hij al te kennen gegeven ook het nieuwe besluit in strijd met de grondrechten te vinden.

Wat betekent dit voor jou?

Het is nog even afwachten, maar met de (waarschijnlijke) komst van het Data Privacy Framework kan er door jouw organisatie weer compliant data worden gedeeld met Amerikaanse organisaties. Ook hoef je dan geen Data Transfer Impact Assessment (DTIA) te doen. Let er wel op dat de organisaties waar jij mee samenwerkt voldoen aan de verplichtingen die er gaan gelden. Daarnaast is het nog steeds goed om op de hoogte te blijven van de ontwikkelingen in dit dossier. Een eventueel juridische procedure duurt over het algemeen twee jaar waardoor het Data Privacy Framework in ieder geval tot die tijd stand zal houden, maar een eventuele vernietiging heeft (wederom) grote impact op jouw verwerkingen. Blijf daarom kritisch kijken naar of je wel echt Amerikaanse partijen nodig hebt voor jouw verwerkingen.

Romar van der Leij

Voormalig Legal counsel | DDMA

Ook interessant

Lees meer
AI Act |

Nieuwe marketinggids Responsible AI voor de verantwoorde inzet van AI in marketing

VIA Nederland, DDMA en bvA, drie brancheverenigingen in de marketingsector, hebben vandaag met trots de Marketinggids Responsible AI gepresenteerd. Deze gids, ontwikkeld als een ‘levende’ leidraad, biedt marketeers concrete richtlijnen…
Lees meer
AVG |

Zaak Meta en Schrems: Openbare data is geen vrijbrief voor gepersonaliseerde advertenties

Gegevens die zijn gedeeld in een openbaar panelgesprek mogen niet zomaar door een social media-platform voor andere doeleinden gebruikt worden. Dit werd vorige maand duidelijk uit een zaak tussen Schrems…
Lees meer
AVG |

Privacykoepel deelt richtlijnen voor ‘consent or pay’ model voor grote online platformen

Meta introduceerde eind vorig jaar de nieuwe ‘consent or pay’ banner. Naar aanleiding van deze wijziging komt de koepel van Europese privacytoezichthouders onder leiding van de Nederlandse Autoriteit Persoonsgegevens (AP)…