Adequaatheidsbesluit voor het EU-US Data Privacy Framework

Adequaatheidsbesluit voor het EU-US Data Privacy Framework in concept gepubliceerd


De Europese Commissie heeft op 13 december jl. het concept adequaatheidsbesluit voor het EU-US Data Privacy Framework gepubliceerd. Krijgt het Privacy Shield dan eindelijk een opvolger?

Geschatte leestijd: 4 minuten

Adequaatheidsbesluit

Organisaties die persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten willen exporteren, kunnen dat alleen doen als de bescherming van die persoonsgegevens voldoende is gewaarborgd.

Een van de manieren waarop dit kan worden gewaarborgd is dat het betreffende land (de VS in dit geval) een adequaat niveau van gegevensbescherming kent ex art. 45 AVG. De Europese Commissie neemt zo’n adequaatheidsbesluit. 

Data privacy Framework

Tot de Schrems-II uitspraak van 16 juli 2020, voorzag het Privacy Shield erin dat Amerikaanse bedrijven geacht werden over een adequaat niveau van veiligheid voor persoonsgegevens te beschikken. Hierbij diende deze bedrijven aan een aantal voorwaarden te voldoen en daartoe gecertifieerd te zijn. Doordat het Privacy Shield door de Schrems-II uitspraak ongeldig is verklaard kunnen veel Amerikaanse bedrijven hiermee niet meer voldoen aan de voorwaarden om persoonsgegevens van Europese burgers te verwerken.

Over de geldigheid van dat Privacy Shield, zegt het Europees Hof dat deze regeling niet kan zorgen voor een beschermingsniveau dat gelijkwaardig is aan het beschermingsniveau dat bestaat binnen de EU. Net als bij de “eerste versie” van het privacy Shield, Safe Harbor, is de reden daarvoor de vergaande inmenging van Amerikaanse inlichtingendiensten, die systematisch en op grote schaal data monitoren van bijvoorbeeld e-mails en cloud-opslagdiensten op basis van bijvoorbeeld de Foreign Intelligence Surveillance Act, de Executive Order 12333 of de Presidential Policy Directive.

Executive Order

Op 7 oktober jl. ondertekende President Biden de Exexutive Order. Deze Executive Order vormt de basis voor het EU-US Data Privacy Framework.

Deze Executive Order is in de VS geen formele wetgeving omdat deze niet langs het congres gaat. De Executive Order omvat verschillende instructies waaraan overheidsinstanties in de VS zich moeten houden. Hieronder noem ik in het kort twee belangrijke zaken die in deze Executive Order zijn opgenomen.

Ten eerste, Amerikaanse inlichtingendiensten dienen aanvullende waarborgen en beperkingen te implementeren voor het verzamelen van persoonsgegevens. Hierdoor wordt de toegang voor inlichtingendiensten beperkt tot wat noodzakelijk en proportioneel is. Het grootschalig verzamelen van persoonsgegevens wordt daarmee beperkt. 

Ten tweede wordt er een onafhankelijke functionaris in het leven groepen, de Civil Liberties Protection Officer, bij wie Europese burgers klachten kunnen indienen en die de klachten onderzoekt en behandelt. Daarnaast komt voor Europese burgers een mogelijkheid om tegen een besluit van deze functionaris in beroep te gaan bij een Data Protection Review Court. Deze Court is echter geen officiële rechtsinstantie.

Concept adequaatheidsbesluit

De Europese Commissie heeft in haar concept adequaatheidsbesluit benoemd waarom de Europese Commissie het EU-US Data Privacy Framework adequaat acht. De belangrijkste zaken die hierin terugkomen zijn de twee zaken die ik hierboven heb benoemd. Kort samengevat gaat het om de mogelijkheid voor Europese burgers om in twee instanties bezwaar te maken in geval van surveillance door de Amerikaanse overheid en dat de toegang voor inlichtingendiensten wordt beperkt tot wat noodzakelijk en proportioneel is.

In het adequaatheidsbesluit komt de Commissie tot de conclusie dat de VS waarborgen biedt voor de privacybescherming die vergelijkbaar zijn met die van de EU. De Commissie is van mening dat persoonsdata die bedrijven vanuit de EU naar Amerikaanse sturen voldoende beschermd zijn.

Schrems 1, 2, 3, …

Het concept adequaatheidsbesluit wordt voorgelegd aan de Europese toezichthouders, de European Data Protection Board. Uiteindelijk moeten alle lidstaten en het Europees Parlement hun goedkeuring geven aan het besluit.

Volgens Max Schrems voldoen de Amerikaanse regels nog steeds niet aan het proportionaliteitsvereiste en is er nog geen afdoende toegang tot een rechter. Het is de vraag wanneer het besluit door het Parlement komt en of het daarna lang van kracht blijft. 

Vragen over dit onderwerp?

Het blijft voorlopig belangrijk om de nodige maatregelen te blijven treffen totdat het nieuwe adequaatheidsbesluit er is. Heb je nog vragen over dit onderwerp, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.