Concept Europese Commissie voor datadoorgifte naar VS

Een korte terugblik: hoe zat het ook alweer?

in 2020 vernietigde het Europees Hof het Privacy Shield (het toen geldende adequaatheidsbesluit), waarmee in één klap alle doorgiftes naar de VS illegaal werden. Reden hiervoor was de strijdigheid van nationale wetgeving in de VS met de Algemene Verordening Gegevensbescherming (AVG) in Europa. Amerikaanse inlichtingendiensten hadden namelijk op basis van die wetgeving te brede bevoegdheden om persoonsgegevens van Europese burgers in te zien. Europese burgers konden dit niet aanvechten bij de rechter.

Sinds de uitspraak van het Europees Hof vond doorgifte naar de VS nog via zogeheten Standard Contractual Clauses (SCC’s) plaats. Deze modelcontracten van de Europese Commissie waren voor het gros van de organisaties de enige overgebleven manier om data door te geven. Maar ook de SCC’s kwamen sinds het begin van 2022 onder druk te staan, toen meerdere toezichthouders oordeelden dat de modelcontracten niet in lijn met de AVG waren bij het gebruik van Google Analytics.

Geopolitieke oplossing

Inmiddels is er al een lange tijd een juridisch vacuüm waarin er vanuit toezichthouders, wetgevers en rechters geen duidelijkheid wordt geboden. Europese (maar ook Amerikaanse) organisaties roeien daarom al een tijdje met de riemen die ze hebben, maar weten niet waar ze aan toe zijn. Het enige wat deze situatie op lijkt te kunnen lossen is een verandering van de nationale wetgeving in de VS.

Na de aankondiging vroeg in 2022 over het opzetten van een nieuw Privacy Shield (2.0) tussen Europa en de VS kwam hiervoor in oktober het startschot. Amerikaans president Biden ondertekende een presidentieel decreet waarmee de nationale regels in de VS werden aangepast. Speerpunten: nieuwe en scherpere aanwijzingen voor Amerikaanse inlichtingendiensten en een klachtenmechanisme met een ‘rechtbank’ waar Europese burgers terecht kunnen.

Conceptvoorstel

Het presidentiële decreet, en de daaruit vloeiende verplichtingen en wijzigingen, waren de aanleiding voor de Europese Commissie om een nieuw voorstel op te stellen voor een adequaatheidsbesluit: het EU-US Data Privacy Framework. In dit conceptvoorstel concludeert de Europese Commissie dat er met het decreet een gelijkwaardig beschermingsniveau is bij het delen van persoonsgegevens met organisaties in de VS. Om in de toekomst gebruik te kunnen maken van het Data Privacy Framework dienen Amerikaanse organisaties zich aan te sluiten door te voldoen aan een aantal privacy-verplichtingen (zoals het waarborgen van bescherming bij het delen van data met een derde partij).

Vervolgstappen

Het conceptvoorstel van de Europese Commissie gaat nu het adoptieproject in. Dat betekent dat het voorstel onder andere langs het Europees Parlement gaat. Ook de Europese koepel van privacy toezichthouders (EDPB) gaat het voorstel beoordelen, maar de Europese Commissie is niet gebonden aan dit oordeel. Daarmee is het de verwachting dat na het afronden van dit beoordelingsproces de Europese Commissie het Data Privacy Framework snel aanneemt (begin 2023).

Dit zou een mooie opsteker zijn voor de sector, aangezien hiermee na lange tijd weer compliant data kan worden gedeeld met partijen in de VS. Toch zijn we er dan nog niet wat betreft de juridische spanning in dit dossier. De verwachting is namelijk dat privacy-activist Max Schrems het nieuwe adequaatheidsbesluit gaar aanvechten bij de Europese rechter, zoals hij dat ook deed bij het Privacy Shield. In een verklaring heeft hij al te kennen gegeven ook het nieuwe besluit in strijd met de grondrechten te vinden.

Wat betekent dit voor jou?

Het is nog even afwachten, maar met de (waarschijnlijke) komst van het Data Privacy Framework kan er door jouw organisatie weer compliant data worden gedeeld met Amerikaanse organisaties. Ook hoef je dan geen Data Transfer Impact Assessment (DTIA) te doen. Let er wel op dat de organisaties waar jij mee samenwerkt voldoen aan de verplichtingen die er gaan gelden. Daarnaast is het nog steeds goed om op de hoogte te blijven van de ontwikkelingen in dit dossier. Een eventueel juridische procedure duurt over het algemeen twee jaar waardoor het Data Privacy Framework in ieder geval tot die tijd stand zal houden, maar een eventuele vernietiging heeft (wederom) grote impact op jouw verwerkingen. Blijf daarom kritisch kijken naar of je wel echt Amerikaanse partijen nodig hebt voor jouw verwerkingen.

• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.
• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.

Romar van der Leij

Voormalig Legal counsel | DDMA