LISA Groningen

De Europese Commissie heeft op 10 juli 2023 een belangrijke stap gezet om de overdracht van persoonsgegevens tussen de Europese Unie (hierna: EU) en de Verenigde Staten (hierna: VS) beter te beveiligen. Volgens de Algemene Verordening Gegevensbescherming (hierna: AVG) mag een organisatie persoonsgegevens enkel doorgeven naar landen buiten de Europese Economische Ruimte met een passend beschermingsniveau. Over landen buiten de EER moet de Europese Commissie een adequaatheidsbesluit nemen om vast te stellen dat de gegevensbeschermingswetgeving van dat land adequaat is. Dit betekent dat het beschermingsniveau vergelijkbaar is met het beschermingsniveau van de AVG. Met de goedkeuring van een nieuw adequaatheidsbesluit wordt bevestigd dat de VS een vergelijkbaar niveau van gegevensbescherming biedt als de EU onder het EU-US- Data Privacy Framework. Dit besluit volgt op het ongeldig verklaren van het vorige adequaatheidsbesluit, het EU-US Privacy Shield, door het Europees Hof van Justitie (hierna: HvJEU). Onder het nieuwe EU-US Data Privacy Framework zullen persoonsgegevens weer veilig kunnen stromen van de EU naar Amerikaanse bedrijven, zonder dat aanvullende gegevensbeschermingsmaatregelen nodig zijn. Dit blog zal kort de voorganger van het Data Privacy Framework bespreken. Vervolgens zullen de waarborgen en gevolgen van het Data Privacy Framework besproken worden.

Voorganger: Privacy Shield

Het EU-US-Privacy Shield is de voorganger van het Data Privacy Framework. Op 12 juli 2016 besloot de Europese Commissie dat deze overeenkomst voldeed aan de databeschermingsrichtlijn. HetPrivacy Shield is echter ongeldig verklaard op 16 juli 2020 in de zaak Schrems II door het HvJEU.

Volgens Max Schrems mocht Facebook zijn persoonsgegevens niet doorgeven aan de VS, omdat in de VS onvoldoende bescherming was tegen de toegang door de overheid tot de gegevens. Zijn klachten leidden in de Scherms I-uitspraak tot ongeldigverklaring van Safe Harbor, de voorloper van Privacy Shield. Als gevolg van de Schrems II-uitspraak werd ook het Privacy Shield ongeldig verklaard met onmiddellijke ingang. Het Hof oordeelt dat het beschermingsniveau bij gegevensdoorgifte in grote lijnen overeen moet komen met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door de AVG, gelezen in het licht van het Handvest. In dit geval was dat niet zo. De twee belangrijkste redenen zijn ten eerste dat de Amerikaanse inlichtingen- en veiligheidsdiensten toegang hebben tot alle gegevens van EU-burgers en dat zij deze naar eigen inzicht mogen verwerken. Ten tweede  biedt het Amerikaanse ombudsman-mechanisme onvoldoende bescherming aan EU-burgers met een klacht over de verwerking van hun persoonsgegevens.

Sinds deze uitspraak kunnen organisaties in de EU geen persoonsgegevens aan de VS doorgeven op grond van het Privacy Shield. Enkel wanneer een gelijkwaardig beschermingsniveau in de praktijk gewaarborgd kan worden, kunnen persoonsgegevens aan de VS worden doorgegeven. Dit betekende de afgelopen twee jaar voor vele bedrijven dat zij extra waarborgen moesten bieden in aanvulling op de modelcontractbepalingen. 

Waarborgen en gevolgen

Vanaf het EU-US Privacy Framework zijn de extra waarborgen niet meer nodig wanneer het gaat om bedrijven die zijn toegetreden tot het EU-US Privacy Framework. Het Privacy Data Framework introduceert nieuwe bindende waarborgen om tegemoet te komen aan alle zorgen van het HvJEU. Het nieuwe modelcontract houdt rekening met de Schrems II-uitspraak. In het Data Privacy Framework zijn waarborgen opgenomen die de veiligheid van de doorgegeven data zouden moeten garanderen. Zo kunnen Europese burgers bij de European Data Protection Board bezwaar aantekenen in plaats van in de VS. Een ander voorbeeld is dat de Data Protection Review Court de bevoegdheid krijgt om te kunnen bevelen dat gegevens worden verwijderd wanneer deze in strijd met de waarborgen zijn verzameld. Ook de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten wordt beperkt tot wat noodzakelijk en evenredig is om de Amerikaanse nationale veiligheid te beschermen. 

In het kort, het belangrijkste gevolg van het EU-US Data Privacy Framework is dat Amerikaanse bedrijven persoonsgegevens kunnen ontvangen vanuit de EU zonder aanvullende waarborgen voor gegevensoverdracht, op voorwaarde dat ze zich houden aan de regels van het EU-US Data Privacy Framework. Echter zou dit van korte duur kunnen zijn. Max Schrems en zijn organisatie, NOYB, zullen het adequaatheidsbesluit aanvechten, omdat volgens hen het Data Privacy Framework een kopie is van Privacy Shield. Zij verwachten dat de zaak over enkele maanden terug zal komen bij het HvJEU. Deze belangrijke stap in de richting van een veilige gegevensoverdracht naar de VS zal dus waarschijnlijk nog een vervolg krijgen.

Namens de Redactiecommissie,
Anniek Bos