Privacy Shield 2.0: de oplossing voor het datadoorgiftedossier?

Principeakkoord

Op vrijdag 25 maart kondigden de voorzitter van de Europese Commissie Von der Leyen en de Amerikaanse president Biden een principeakkoord aan voor een Trans-Atlantic Data Privacy Framework. Dit is dus geen definitief besluit. Het gaat op dit moment slechts om een politieke aankondiging van het akkoord om het framework op te zetten. De definitieve uitkomst kan dus zeker nog maanden op zich laten wachten.

Met de huidige beschikbare informatie lijkt dit framework een doorstart van het Privacy Shield, dat in 2020 door de hoogste Europese rechter in Schrems II-zaak werd vernietigd, maar dan met aanvullende waarborgen. Vandaar ook dat er al vrij snel het predicaat ‘Privacy Shield 2.0’ op werd geplakt. Daarnaast gaan vanuit verschillende bronnen geluiden op dat de huidige situatie in Oekraïne ertoe heeft geleid dat het principeakkoord in een stroomversnelling is geraakt.

Achtergrond

Om het overzichtelijk te houden, moeten we teruggaan naar de Schrems II-zaak in 2020. De hoogste Europese rechter, het Hof van Justitie van de Europese Unie, oordeelde toen dat (1) het Privacy Shield ongeldig is, en (2) dat de Standard Contractual Clauses (SCC)’s in die zaak onvoldoende waarborgen boden voor de doorgifte van persoonsgegevens naar de VS. Redenen hiervoor waren de mogelijke toegang tot persoonsgegevens van Europese burgers door Amerikaanse autoriteiten én de ontbrekende rechtsgang voor deze burgers wanneer zij zich tegen deze toegang willen verzetten. Deze twee problemen zijn nog niet opgelost.

Het Hof van Justitie oordeelde dat het gebruik van SCC’s voor doorgifte mogelijk bleven, mits er wordt voldaan aan aanvullende eisen. Maar verschillende toezichthouders hebben dit jaar met hun besluiten laten zien dat ook dat een lastig verhaal is (zoals het onderzoek van de Autoriteit Persoonsgegevens naar Google Analytics). De vraag bij het principeakkoord is dus vooral: kan met het nieuwe framework wel aan deze punten worden voldaan?

‘Key Principles’

Het antwoord is zoals wel vaker: dat weten we nog niet. Op dit moment kunnen we enkel inschatten wat de plannen zijn van beide partijen om hieruit te komen op basis van de fact sheets die zijn gepubliceerd (deze vind je ook onderaan deze pagina). In deze documenten worden key principles benoemd die Schrems II moeten doen vergeten. De belangrijkste punten op een rij:

• Bindende waarborgen voor Amerikaanse autoriteiten om toegang te beperken tot datgene wat noodzakelijk en proportioneel is voor de nationale veiligheid.
• Een tweeledig beroepsmechanisme om klachten van Europese burgers te onderzoeken en te behandelen. Onderdeel hiervan is het opzetten van een heus Data Protection Review Court in de VS.
• Sterke verplichtingen voor in Amerika gevestigde organisaties om persoonsgegevens van Europese burgers te mogen verwerken. Hierbij moet o.a. gedacht worden aan aantoonbaarheid d.m.v. zelfcertificering.
• Specifieke monitoring- en beoordelingsmechanismen om de afspraken te waarborgen.

Op het eerste oog is duidelijk te zien dat deze punten inspelen op de beoordeling van het Hof van Justitie in Schrems II. Het blijft daarentegen afwachten of dit framework, met de verdere uitwerking, ook als daadwerkelijke oplossing beoordeeld zal worden in het licht van de AVG. Met name de vraag of de genoemde key principles voldoende zijn om Europese burgers AVG-waardig te beschermen is van belang. Dit zal (hoogst)waarschijnlijk wederom aan de hoogste Europese rechter zijn om te bepalen, mocht het framework definitief zijn. Sterker nog: privacy-activist Max Schrems heeft al de verwachting uitgesproken dat de rechtmatigheid van het frameworkbinnen een paar maanden na een definitief besluit weer voorligt bij de rechter. We zijn er dus nog lang niet.

Factsheet Europese Commissie: DOWNLOAD HIER

Factsheet The White House: DOWNLOAD HIER

Ben je lid van DDMA en heb je vragen over de doorgifte van persoonsgegevens naar de VS? Stuur dan een e-mail naar legal@ddma.nl.

Romar van der Leij

Voormalig Legal counsel | DDMA