Privacy Shield 2.0: EDPB-advies
In de afgelopen maanden is er veel commotie geweest over het nieuwe Privacy Shield. Deze afspraken moeten het voor organisaties mogelijk maken om persoonsgegevens veilig te verwerken in de VS. Het originele Privacy Shield is namelijk ongeldig verklaard tijdens de zogeheten Schrems II-zaak. Dit nieuwe Privacy Shield biedt hopelijk betere bescherming aan EU-burgers.
Wil je meer weten over de inhoud van het Privacy Shield 2.0 en de veranderingen ten opzichte van de voorganger? Lees dan onze vorige blogs over dit onderwerp.
Recent heeft de European Data Protection Board (EDPB) een advies gegeven over het concept adequaatheidsbesluit. Dit advies moet verplicht gevraagd worden aan de EDPB, zodat de Europese Commissie een adequaatheidsbesluit kan nemen voor het nieuwe Privacy Shield.
Wat vindt de EDPB?
In het advies van de EDPB wordt het nieuwe besluit verwelkomd, maar er zijn ook zorgen. De nieuwe regeling is een grote vooruitgang ten opzichte van zijn voorganger en beschermt de rechten van EU-burgers beter. De EDPB is voornamelijk te spreken over de introductie van noodzakelijkheid en evenredigheid bij het verzamelen van gegevens door Amerikaanse inlichtingendiensten. Daarnaast komt er een nieuw verhaalmechanisme voor betrokkenen in de EU.
Tegelijkertijd twijfelt de EDPB over bepaalde rechten van betrokkenen, verdere doorgifte van data, de reikwijdte van vrijstellingen, tijdelijke bulkverzameling van gegevens en de praktische werking van het verhaalmechanisme. Dit moet dan ook verduidelijkt worden en in de praktijk goed gecontroleerd worden.
Andere zorgelijke punten volgens de EDPB: de grote uitzondering op het recht op toegang tot openbaar beschikbare informatie, het ontbreken van specifieke regels voor geautomatiseerde besluitvorming en profilering, en het risico van ondermijning van gegevensbeschermingswaarborgen bij doorgiften naar derde landen. De EDPB vindt het daarom belangrijk dat er elke drie jaar een review plaatsvindt van het adequaatheidsbesluit.
Ook al is het advies van de EDPB niet bindend, het kan wel van groot belang zijn. Vooral tijdens een eventuele rechtszaak die Max Schrems waarschijnlijk weer zal aanspannen, aangezien het Privacy Shield 2.0 volgens hem nog steeds niet voldoende bescherming biedt. Zo betwijfelt Schrems bijvoorbeeld of de nieuwe ‘Data Protection Review Board’ wel echt zo onafhankelijk is als het lijkt.
Wat nu?
Het is duidelijk dat de EDPB enthousiast is over de verbeteringen in het nieuwe Privacy Shield, maar dat er ook een aantal punten van zorg zijn. De EDPB heeft gesteld dat de goedkeuring van het nieuwe adequaatheidsbesluit afhankelijk is van een aantal aanvullende procedures en beleidslijnen. De Commissie wordt verzocht dit geactualiseerde beleid te beoordelen en met de EDPB te delen.
Hulp nodig bij internationale doorgifte van persoonsgegevens?
Het is begrijpelijk dat dit nieuwe Privacy Shield veel vragen en onduidelijkheden met zich meebrengt. Heb jij of heeft jouw bedrijf hulp nodig bij de internationale doorgifte van persoonsgegevens? Wij staan voor je klaar! Stuur ons gerust een e-mail.