Privacy Shield 2.0: President Biden ondertekent decreet ter bescherming persoonsgegevens EU-burgers 

Om direct antwoord te geven op de inleidende vraag: deze nieuwe ontwikkeling is niet de directe oplossing voor de huidige juridische problematiek bij datadoorgifte naar de VS. Dit presidentiële decreet omvat dwingende instructies waar overheidsinstanties in de VS zich aan moeten houden en hun beleid op dienen aan te passen. Er is meer tijd nodig om daadwerkelijk invulling te geven aan deze instructies, maar wel kunnen we alvast kijken naar welke stap Biden neemt met dit decreet en aan welke instructies zijn overheidsinstanties voortaan moeten voldoen. 

Waarom een presidentieel decreet? 

Er is al lange tijd veel te doen rondom datadoorgifte naar de VS. Om deze problematiek goed te kunnen begrijpen, moeten we terug naar 2020: de uitspraak van het Hof van Justitie van de Europese Unie (Hof) in de Schrems II-zaak. In die zaak werd het Privacy Shield (het adequaatheidsbesluit voor veilige datadoorgifte) ongeldig verklaard. Het beschermingsniveau van persoonsgegevens in de VS is niet gelijk aan het minimumvereiste dat in Europese privacywetgeving is bepaald. Samengevat onderbouwde het Hof dit oordeel destijds met de volgende redenen: 

1. Nationale wetgeving in de VS kent bevoegdheden voor inlichtingendiensten om toegang te verkrijgen tot persoonsgegevens van EU-burgers; 

2. EU-burgers kunnen deze toegang niet aanvechten bij de Amerikaanse rechter en worden daarom beperkt in hun rechten. 

Eerder dit jaar kondigden de Europese Commissie en de Amerikaanse president aan in te zetten op een nieuw Privacy Shield op te zetten. Om dit Trans-Atlantic Data Privacy Framework (ook bekend als ‘Privacy Shield 2.0’) op te kunnen zetten, zal de VS aanpassingen moeten doen aan haar nationale wet- en regelgeving. Daar is het ondertekende presidentiële decreet nu de volgende stap in. 

Inhoud presidentieel decreet: instructies voor overheidsinstanties 

Een presidentieel decreet is in de VS geen formele wetgeving (het gaat namelijk niet langs het congres), maar heeft wel een vergelijkbare status. Zoals gezegd omvat het decreet verschillende instructies waar overheidsinstanties in de VS zich aan moeten houden en hun beleid op moeten aanpassen. De inhoud van het decreet is terug te brengen tot de volgende belangrijke punten: 

• Amerikaanse inlichtingendiensten dienen aanvullende waarborgen en beperkingen te implementeren voor het verzamelen van persoonsgegevens 

• Daarmee zou toegang door inlichtingendiensten moeten worden beperkt tot wat noodzakelijk en proportioneel is 
• Het in ‘bulk’ verzamelen van persoonsgegevens moet daarmee worden beperkt 
• Het beleid en de procedures van de inlichtingendiensten dienen hierop te worden aangepast 

• Er moet een klachtensysteem (‘Signals Intelligence Redress Mechanism’) worden ingericht waar EU-burgers gebruik van kunnen maken 

• Klachten kunnen door EU-burgers worden ingediend bij een onafhankelijke functionaris die de klachten onderzoekt en behandelt 
• Daarnaast komt voor EU-burgers een mogelijkheid om tegen een besluit van bovengenoemde functionaris in beroep te gaan bij een Data Protection Review Court (geen officiële rechtsinstantie) 
• Bevindingen van deze ‘court’ binden inlichtingendiensten om hun beleidsvoering aan te passen 

Op het eerste oog lijken deze instructies zeker een stap vooruit, maar het is uiteindelijk de vraag of de genoemde maatregelen ook voldoende gaan zijn om een passend beschermingsniveau voor persoonsgegevens van EU-burgers te garanderen. Hoe beperkend werken deze aanvullende waarborgen voor inlichtingendiensten en zijn zij daadwerkelijk gebonden aan eventuele beslissingen van het Data Protection Review Court? Alleen het Hof kan deze vragen uiteindelijk beantwoorden. 

Hoe nu verder? 

De Commissie heeft al aangekondigd een conceptvoorstel voor het nieuwe Privacy Shield voor te bereiden. Als onderdeel van deze procedure zal ook de Europese koepel van privacytoezichthouders (EDPB) naar het conceptvoorstel gaan kijken, maar hun advies is voor de Commissie niet bindend. In theorie betekent dit dat we op relatief korte termijn een nieuw adequaatheidsbesluit kunnen verwachten. 

Daarnaast zou het decreet mogelijk op korte termijn al lucht kunnen bieden aan organisaties die in de EU zijn gevestigd. In het decreet is namelijk opgenomen dat het klachtensysteem binnen 60 dagen werkend moet zijn. De komst van het klachtensysteem zou kunnen zorgen voor een ander oordeel van het gebruik van de Standard Contractual Clauses (modelcontracten van de Commissie voor datadoorgifte), dan de Europese privacy toezichthouders tot nu toe hebben gehad in verschillende besluiten rond Google Analytics.  

Toch zijn we er dan nog niet. Meerdere burgerrechtelijke organisaties, waaronder de privacystichting van privacyactivist Max Schrems (NOYB), hebben namelijk al laten weten in het getekende decreet geen blijvende oplossing te zien. De kans is dan ook groot dat een eventueel nieuw Privacy Shield opnieuw zal worden aangevochten tot aan het Hof. De behandelingsprocedure bij het Hof duurt in veel gevallen minimaal 2 jaar, wat betekent dat het onduidelijke juridische vacuüm waarin we verkeren mogelijk nog tot ergens in 2025 zal aanhouden. Wat je tot die tijd kunt doen? Op de hoogte blijven van de ontwikkelingen (bijvoorbeeld via de DDMA Legal Nieuwsbrief) en persoonsgegevens verwerken op een zo compliant mogelijke manier die aansluit bij de (juridische) realiteit van de dag. 

Ben je lid van DDMA en heb je een juridische vraag? Stuur dan een mailtje naar legal@ddma.nl. 

Op onze dossierpagina’s over data delen buiten de EU en Google Analytics vind je alle actuele informatie over ontwikkelingen rondom het Privacy Shield. 

Romar van der Leij

Voormalig Legal counsel | DDMA