Spring naar content

Principeakkoord

Op vrijdag 25 maart kondigden de voorzitter van de Europese Commissie Von der Leyen en de Amerikaanse president Biden een principeakkoord aan voor een Trans-Atlantic Data Privacy Framework. Dit is dus geen definitief besluit. Het gaat op dit moment slechts om een politieke aankondiging van het akkoord om het framework op te zetten. De definitieve uitkomst kan dus zeker nog maanden op zich laten wachten.

Met de huidige beschikbare informatie lijkt dit framework een doorstart van het Privacy Shield, dat in 2020 door de hoogste Europese rechter in Schrems II-zaak werd vernietigd, maar dan met aanvullende waarborgen. Vandaar ook dat er al vrij snel het predicaat ‘Privacy Shield 2.0’ op werd geplakt. Daarnaast gaan vanuit verschillende bronnen geluiden op dat de huidige situatie in Oekraïne ertoe heeft geleid dat het principeakkoord in een stroomversnelling is geraakt.

Achtergrond

Om het overzichtelijk te houden, moeten we teruggaan naar de Schrems II-zaak in 2020. De hoogste Europese rechter, het Hof van Justitie van de Europese Unie, oordeelde toen dat (1) het Privacy Shield ongeldig is, en (2) dat de Standard Contractual Clauses (SCC)’s in die zaak onvoldoende waarborgen boden voor de doorgifte van persoonsgegevens naar de VS. Redenen hiervoor waren de mogelijke toegang tot persoonsgegevens van Europese burgers door Amerikaanse autoriteiten én de ontbrekende rechtsgang voor deze burgers wanneer zij zich tegen deze toegang willen verzetten. Deze twee problemen zijn nog niet opgelost.

Het Hof van Justitie oordeelde dat het gebruik van SCC’s voor doorgifte mogelijk bleven, mits er wordt voldaan aan aanvullende eisen. Maar verschillende toezichthouders hebben dit jaar met hun besluiten laten zien dat ook dat een lastig verhaal is (zoals het onderzoek van de Autoriteit Persoonsgegevens naar Google Analytics). De vraag bij het principeakkoord is dus vooral: kan met het nieuwe framework wel aan deze punten worden voldaan?

‘Key Principles’

Het antwoord is zoals wel vaker: dat weten we nog niet. Op dit moment kunnen we enkel inschatten wat de plannen zijn van beide partijen om hieruit te komen op basis van de fact sheets die zijn gepubliceerd (deze vind je ook onderaan deze pagina). In deze documenten worden key principles benoemd die Schrems II moeten doen vergeten. De belangrijkste punten op een rij:

  • Bindende waarborgen voor Amerikaanse autoriteiten om toegang te beperken tot datgene wat noodzakelijk en proportioneel is voor de nationale veiligheid.
  • Een tweeledig beroepsmechanisme om klachten van Europese burgers te onderzoeken en te behandelen. Onderdeel hiervan is het opzetten van een heus Data Protection Review Court in de VS.
  • Sterke verplichtingen voor in Amerika gevestigde organisaties om persoonsgegevens van Europese burgers te mogen verwerken. Hierbij moet o.a. gedacht worden aan aantoonbaarheid d.m.v. zelfcertificering.
  • Specifieke monitoring- en beoordelingsmechanismen om de afspraken te waarborgen.

Op het eerste oog is duidelijk te zien dat deze punten inspelen op de beoordeling van het Hof van Justitie in Schrems II. Het blijft daarentegen afwachten of dit framework, met de verdere uitwerking, ook als daadwerkelijke oplossing beoordeeld zal worden in het licht van de AVG. Met name de vraag of de genoemde key principles voldoende zijn om Europese burgers AVG-waardig te beschermen is van belang. Dit zal (hoogst)waarschijnlijk wederom aan de hoogste Europese rechter zijn om te bepalen, mocht het framework definitief zijn. Sterker nog: privacy-activist Max Schrems heeft al de verwachting uitgesproken dat de rechtmatigheid van het frameworkbinnen een paar maanden na een definitief besluit weer voorligt bij de rechter. We zijn er dus nog lang niet.

Factsheet Europese Commissie: DOWNLOAD HIER

Factsheet The White House: DOWNLOAD HIER

Ben je lid van DDMA en heb je vragen over de doorgifte van persoonsgegevens naar de VS? Stuur dan een e-mail naar legal@ddma.nl.

Romar van der Leij

Legal counsel

Ook interessant

Lees meer
AVG |

Google Analytics 4: de oplossing voor datadoorgifte naar de VS?

Er is inmiddels al veel gezegd over de besluiten van verschillende Europese toezichthouders over Google Analytics. In specifieke gevallen wordt de webanalytics-tool illegaal bevonden, omdat er persoonsgegevens worden doorgegeven naar…
Lees meer
AVG |

18 alternatieven voor Google Analytics (volgens de Franse privacytoezichthouder)

Het gebruik van Google Analytics staat onder druk. Meerdere Europese toezichthouders oordeelden in specifieke gevallen dat er sprake is van illegale doorgifte naar de Verenigde Staten. Dit zorgt voor veel…
Lees meer
Cookies |

Wel of geen verbod op Google Analytics? Een overzicht

2022 is voor de data-driven marketingsector op het gebied van wetgeving en handhaving een turbulent jaar. Vooral de besluiten van meerdere Europese toezichthouders ten aanzien van Google Analytics, de in…