Op 10 juli 2023 heeft de Europese Commissie haar adequaatheidsbesluit met betrekking tot het EU-VS Data Privacy Framework (DPF) goedgekeurd. Dit besluit betekent dat de Verenigde Staten, in de ogen van de Europese Commissie, een voldoende beschermingsniveau bieden aan persoonsgegevens die uitgewisseld worden tussen de VS en de EU. Het beschermingsniveau van de VS is nu vergelijkbaar met dat van de EU.
Zoals in onze eerdere blogs beschreven, volgt dit adequaatheidsbesluit op een Executive order over ‘Enhancing Safeguards for United States Signals Intelligence Activities’, getekend door de Amerikaanse president Joe Biden. In combinatie met een concrete set aan afspraken tussen de EU en de VS zorgt dit ervoor dat de Europese Commissie van mening is dat er voldoende waarborgen zijn om te komen tot het adequaatheidsbesluit.
Dit betekent dat er gemakkelijk, zonder aanvullende waarborgen, persoonsgegevens vanuit de EU naar de VS kunnen worden doorgegeven.
Schrems I en Schrems II-zaken
De afgelopen jaren is er veel discussie geweest over het doorgeven van data aan de VS, voornamelijk door de zogeheten Schrems I- en Schrems II-zaken. Hierdoor zijn de voorgangers van het DPF ongeldig verklaard.
Naar aanleiding van de laatste ongeldigverklaring (die van het Privacy Shield) moesten de EU en de VS opnieuw met elkaar in gesprek om tot nieuwe afspraken te komen. Deze gesprekken hebben ruim 18 maanden geduurd. In deze periode konden er enkel persoonsgegevens gedeeld worden met de VS door middel van zogeheten Standard Contractual Clauses (SCC’s), veelal in combinatie met het uitvoeren van een Data Transfer Impact Assessment (DTIA). Dit maakte het een stuk ingewikkelder om veilig en gemakkelijk gegevens door te geven aan de VS. Daar lijkt nu met het DPF een einde aan te komen.
Met de komst van het DPF komen er meer verplichtingen bij voor Amerikaanse inlichtingendiensten. Zo wordt de toegang tot de persoonsgegevens van Europese burgers beperkt tot wat noodzakelijk en evenredig is voor de bescherming van de nationale veiligheid. Daarnaast zijn er meerdere verhaalsmogelijkheden en klachtenprocedures voor EU-burgers. Meer weten over de inhoud van het Data Privacy Framework? Lees dan onze vorige blog.
Persoonsgegevens delen? Check de certificering
Amerikaanse bedrijven moeten zich voor deelname aan het DPF certificeren. Hiervoor moeten zij aantonen dat zij voldoen aan meerdere verplichtingen zoals dataminimalisatie, doelbinding en goede beveiliging van de persoonsgegevens.
Het Amerikaanse Ministerie van Handel zal de certificeringsaanvragen behandelen en blijven controleren of de Amerikaanse bedrijven nog voldoen aan de eisen en verplichtingen. Daarnaast zal de Europese Commissie samen met afgevaardigden van de Europese en Amerikaanse gegevensbeschermingsautoriteiten periodiek controleren of het DPF nog voldoet. Een jaar na inwerkingtreding zal de eerste controle plaatsvinden om te verifiëren of het DPF naar behoren functioneert en volledig is geïmplementeerd in de Amerikaanse wet- en regelgeving.
Europese bedrijven moeten zich er dus bewust van zijn dat Amerikaanse bedrijven gecertificeerd moeten zijn vóórdat er met hen persoonsgegevens gedeeld worden. Bij het ontbreken van een certificering ben je als Europees bedrijf nog steeds verplicht om SCC’s af te sluiten en een DTIA uit te voeren.
Schrems III?
Voor nu kunnen persoonsgegevens dus weer veilig en gemakkelijk doorgegeven worden aan de VS, maar als het aan Max Schrems ligt is dit van korte duur. Zo heeft Schrems, die de voorgangers van het DPF ook heeft aangevochten, al laten weten dat hij begin volgend jaar verwacht een nieuwe zaak bij het Hof van Justitie te hebben.
Hij is van mening dat ook dit nieuwe Framework onvoldoende bescherming biedt tegen Amerikaanse surveillance. Ook andere organen en experts zijn kritisch geweest, lees meer hierover in onze eerdere blog.
De vraag is dus nog steeds of het nieuwe Framework wel dé oplossing is. Overigens duurt een gerechtelijke procedure erg lang, dus de komende tijd zal het nieuwe besluit waarschijnlijk standhouden.
Hulp nodig?
Het is begrijpelijk dat het nieuwe Data Privacy Framework veel vragen oproept en onduidelijkheden met zich meebrengt. Heb jij of heeft jouw bedrijf hier hulp bij nodig? Wij van Privacycoaches staan uiteraard voor jou klaar! Stuur ons gerust een e-mail.