Data delen met VS weer AVG-proof: Europese Commissie neemt opvolger Privacy Shield aan

Wil je het hele proces voorafgaand aan dit besluit nog eens tot in detail teruglezen? Lees dan het meest recente artikel óf kijk op onze themapagina over Google Analytics.

Nadat in 2020 het vorige adequaatheidsbesluit (Privacy Shield) werd vernietigd, was het lang wachten op een antwoord vanuit geopolitiek oogpunt. Uiteindelijk werd er begin vorig jaar een politiek akkoord gesloten tussen de EU en de VS om een nieuw framework op te zetten waarmee datadoorgifte weer ‘veilig’ plaats zou kunnen vinden. Daaropvolgend bracht Amerikaans president Biden een decreet uit, waarmee op nationaal niveau aanpassingen werden doorgevoerd in de VS.

Deze wijzigingen bewoog de Europese Commissie (EC) vervolgens om in januari 2023 een conceptbesluit te publiceren. Na (negatieve) adviezen vanuit het Europees Parlement en de EDPB (Europese koepel voor privacy toezichthouders) én goedkeuring vanuit een afvaardiging van de lidstaten, heeft de EC nu definitief het nieuwe Data Privacy Framework (DPF) aangenomen.

Wat is er precies besloten

Met dit nieuwe adequaatheidsbesluit beoordeelt de EC het beschermingsniveau van persoonsgegevens in de VS als gelijkwaardig aan dat van de AVG. Daarmee zegt de EC ook dat de wijzigingen die in de VS zijn doorgevoerd aan het eigen rechtsstelsel, voldoende zijn om de gebreken in het vernietigde Privacy Shield te herstellen. De rechten van Europese burgers zouden beter beschermd moeten worden door:

• de toegang tot gegevens door Amerikaanse inlichtingendiensten te beperken tot wat noodzakelijk en proportioneel is voor nationale veiligheid
• verscherpt toezicht op de activiteiten van de Amerikaanse inlichtingendiensten
• de oprichting van een onafhankelijk en onpartijdig klachtenmechanisme voor Europese burgers

Het klachtenmechanisme is al enige tijd actief, maar de EU moest in de VS nog worden aangewezen als een ‘qualifying state’. Dat is recent gebeurd, waardoor Europese burgers nu formeel klachten kunnen indienen bij een onafhankelijke functionaris. Daarmee lag ook de weg open voor de EC om het besluit definitief aan te nemen.

Ondanks dat de wijzigingen zeker een stap vooruit lijken, is er (zoals eerder aangehaald) ook kritiek op het nieuwe systeem. Zo zet het Europees Parlement sterke vraagtekens bij de beperkende werking van deze aanvullende waarborgen voor inlichtingendiensten én de rechtskracht van het klachtenmechanisme. Of deze vraagtekens terecht zijn, moet blijken. In het geval van een procedure zal uiteindelijk de Europese rechter hierover beslissen.

Gevolgen voor de (marketing)praktijk

Het grote voordeel is dat men niet per se gebruik hoeft te maken van de modelcontracten (SCC’s) voor doorgifte naar de VS. Dit kan op grond van het nieuwe DPF. Daarmee lijkt er ook een einde te komen aan wat velen beschouwden als het ‘lawyers paradise’, vanwege de verplichte Data Transfer Impact Asssesments. Voorwaarde voor dit alles is wel dat de partijen aan wie persoonsgegevens worden doorgegeven, zijn aangesloten bij het framework en de daarbij behorende regels (zoals het verwijderen van niet noodzakelijke persoonsgegevens). Als dat niet het geval is, moet je alsnog een ander mechanisme voor doorgifte gebruiken.

Daarnaast heeft het adequaatheidsbesluit mogelijk ook een effect op de lopende klachten en besluiten over het gebruik van Google Analytics. Ondanks dat de toezichthouders daar oordelen over de doorgifte van persoonsgegevens in de ‘oude situatie’ (door middel van de oude SCC’s), zou het kunnen dat ze daar minder streng naar kijken. Bovendien hebben de wijzigingen in de VS mogelijk ook een positief effect op het oordeel van toezichthouders op het gebruik van SCC’s in de huidige situatie.

Tot slot blijft het wel de vraag hoelang dit nieuwe framework overeind blijft. Privacy-voorvechter Max Schrems heeft al aangekondigd ook dit doorgifte-mechanisme niet als voldoende te beschouwen. Als je daarbij meeneemt dat eerder het Europees Parlement en ook de EDPB al kritisch waren, lijkt er een aanzienlijke kans dat het Europese hof ook het DPF in de toekomst vernietigt. Wel is het zo dat een gerechtelijke procedure veel tijd in beslag neemt, waardoor we ervan uit kunnen gaan dat dit besluit minimaal 1,5 jaar standhoudt. Al met al is het formeel aannemen van het adequaatheidsbesluit daarom positief nieuws voor de sector!

Romar van der Leij

Voormalig Legal counsel | DDMA