Europa en de VS sleutelen nog altijd aan een nieuwe regeling waarmee Europese bedrijven weer gegevens mogen uitwisselen met de VS. De oude regelingen zoals het Privacy Shield zijn door de rechter als onvoldoende beoordeeld, omdat de Amerikaanse overheid nog steeds te makkelijk bij de data van Europese burgers kan. Hoe staat het met de nieuwe regeling, is de data van burgers beter beschermd en hoe snel kunnen we een nieuwe regeling verwachten? Sommige berichten spreken over later deze maand. Daar gaan we in dit artikel uitgebreid op in.
4 juli 2023 • Nieuws
Gegevensuitwisseling Europa en Amerika, komt er een besluit?
Waar staan we nu?
Voorheen konden Europa en de VS gegevens uitwisselen onder een raamwerk van de Europese Commissie en het Amerikaanse ministerie van Handel. Deze raamwerken geven een aantal regels waaraan Amerikaanse bedrijven zich committeerden om een aan Europa gelijkwaardig beschermingsniveau van privacy te bieden. Deze regelingen, respectievelijk Safe Harbor en diens opvolger het Privacy Shield, zijn beiden door het Europese Hof van Justitie ongeldig verklaard omdat ze in praktijk geen gelijkwaardig beschermingsniveau boden. Nu wordt onderhandeld over een nieuwe regeling. Eerst even een tijdlijn:
- 2015: Safe Harbor (voorganger Privacy Shield) wordt ongeldig verklaard
- 2020: Europese Hof van Justitie (EHvJ) oordeelt dat het Privacy Shield ongeldig is.
- Maart 2022 principe akkoord Privacy Shield 2.0. Het is geen definitief besluit, maar een politieke aankondiging van het akkoord om een nieuwe regeling op te zetten. De uitgangspunten zijn te lezen in twee van onze artikelen: artikel 1 en artikel 2.
- Oktober 2022: president VS tekent decreet ter voorbereiding, lees er hier meer over.
- December 2022: de Europese Commissie komt met een concept regeling.
- Maart 2023: de Europese Raad voor Gegevensbescherming (EDPB) geeft mening.
- Juli 2023: Ierse Privacy Toezichthouder zegt te begrijpen dat de Europese Commissie volgende maand met een adequaatheidsbesluit komt.
Kritiek op het voorstel
Het Hof verklaarde de vorige regelingen ongeldig omdat de Amerikaanse inlichtingen en veiligheidsdiensten nog altijd toegang kunnen krijgen tot gegevens van Europese burgers. Deze toegang is niet beperkt tot strikt noodzakelijke gevallen.
Over de nieuwe regeling ‘het Privacy Shield 2.0’ zegt de Europese Raad voor Gegevensbescherming (EDPB), oftewel de Europese privacy waakhond, dat de concept regeling nog steeds onvoldoende privacy bescherming biedt voor Europese burgers. Het blijft onduidelijk wat er exact met de doorgegeven persoonsgegevens gebeurd, hoe AVG rechten kunnen worden uitgeoefend en welke privacy waarborgen er zijn.
Max Schrems, privacy-activist, die ervoor zorgde dat de vorige regelingen ongeldig werden verklaard, twijfelt of de nieuwe regeling een toetsing door de rechter zal overleven. De nieuwe regeling maakt aldus Schrems geen einde aan de bevoegdheden van de Amerikaanse Inlichtingendiensten en er worden nog altijd dezelfde besluiten genomen in strijd met onze grondrechten.
Waarom is het belangrijk voor u?
De Amerikaanse overheid heeft onder de Freedom Act nog steeds ruime bevoegdheid om persoonsgegevens van burgers in te zien als zij bijvoorbeeld terrorisme of fraude vermoeden. Hierdoor heeft Amerika niet hetzelfde privacy beschermingsniveau als Europa en zijn Europese burgers niet gelijkwaardig aan Amerikaanse burgers. Dat is de reden waarom het op dit moment onwettig is om persoonsgegevens naar Amerika te versturen en kreeg Meta onlangs nog een mega boete voor haar verwerking van gegevens in de VS.
Nederlandse bedrijven maken veel gebruik van Amerikaanse dienstverleners zoals Salesforce en Google Analytics. Als alternatief voor het Shield gebruiken deze dienstverleners zogenaamde Standard Contractual Clauses (SCC’s). Dit zijn standaard data privacy contracten van de EU, waarin de organisatie garandeert bepaalde aanvullende waarborgen te treffen. Deze contracten zijn in principe nog steeds geldig. De vraag is natuurlijk of de organisaties echt het beschermingsniveau van de SCC kunnen garanderen en de Amerikaanse inlichtingendiensten buiten de deur kunnen houden. Met als gevolg dat Europese bedrijven tegen het probleem aanlopen dat zij nooit zeker weten of diensten voldoen aan de Europese privacywet (AVG) en dit heeft impact op een compliant bedrijfsvoering. Een nieuwe regeling moet de uitwisseling van persoonsgegevens tussen Europese en Amerikaanse bedrijven veilig garanderen en voor zekerheid zorgen.
Wat kunt u doen?
Bedrijven zullen kritisch naar hun leveranciers moeten gaan kijken. Standard Contractual Clauses (SCC’s) kunnen hierbij helpen. Lees hier wat praktische tips.
Hoe nu verder?
Er gebeurt nog veel op dit vlak. Zo heeft een medewerker van de Ierse privacy toezichthouder gezegd dat zij heeft begrepen dat de Europese Commissie volgende maand al komt met een adequaatheidsbesluit voor de VS. Ze deed deze uitspraak tijdens een rechtszitting over uitstel van Meta tegen het besluit van de toezichthouder dat Meta de overdracht en opslag van gebruikersgegevens van Europa naar de Verenigde Staten moet opschorten. Het uitstel is tot eind juli verleend. Ook dokter Ralph Sauer (Deputy Head of Unit of the International Data Flows and Data Protection Unit at the European Commission, Directorate-General for Justice and Consumers) heeft eerder dit jaar aangegeven het adequaatheidsbesluit eind juli te verwachten. We zijn benieuwd of deze deadline wordt gehaald.
Wij zullen u op de hoogte houden van updates rondom dit onderwerp. Mocht u vragen hebben naar aanleiding van dit artikel, neem dan gerust contact met ons op.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
