Adequaatheidsbesluit AVG

Goede stap naar nieuw adequaatheidsbesluit


De European Data Protection Board (EDPB), heeft op 6 april jl. in een verklaring aangegeven dat er een goede eerste stap is gemaakt door de Europese Commissie en de Verenigde Staten om tot nieuwe afspraken te komen over de doorgifte van persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten. Een eerste stap naar een nieuw adequaatheidsbesluit.

Geschatte leestijd: 3 minuten

Nog geen akkoord

De EDPB geeft als kanttekening aan dat is nog geen akkoord is. Organisaties die persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten willen exporteren, kunnen dat daarom alleen doen als de bescherming van die persoonsgegevens voldoende is gewaarborgd.

Adequaatheidsbesluit

Tot de Schrems-II uitspraak van 16 juli 2020, voorzag het Privacy Shield erin dat Amerikaanse bedrijven geacht werden over een adequaat niveau van veiligheid voor persoonsgegevens te beschikken. Hierbij diende deze bedrijven aan een aantal voorwaarden te voldoen en daartoe gecertifieerd te zijn. Doordat het Privacy Shield door de Schrems-II uitspraak ongeldig is verklaard kunnen veel Amerikaanse bedrijven hiermee niet meer voldoen aan de voorwaarden om persoonsgegevens van Europese burgers te verwerken.

De onderhandelingen tussen de Europese Unie (EU) naar de Verenigde Staten (VS) moeten resulteren in een nieuw adequaatheidsbesluit. Een adequaatheidsbesluit is een formeel besluit van de EU waarmee de EU erkent dat in een land buiten de EU persoonsgegevens net zo goed beschermd worden als in de EU.

Het is nog de vraag op welke manier de beoogde overeenkomst aan de voorwaarden uit het Schrems-II arrest gaat voldoen. Wanneer hieraan niet op een juiste manier invulling wordt gegeven is een Schrems-III arrest te voorzien.

Tijdelijke oplossing?

Een veel gestelde vraag is of dit probleem (tijdelijk) kan worden opgelost door te contracteren met een dochterbedrijf van een Amerikaanse aanbieder die is gevestigd in de EU. Om die vraag te kunnen beantwoorden, kijken we eerst nog even naar de uitspraak van het Europees Hof.

Over de geldigheid van dat Privacy Shield, zegt het Europees Hof dat deze regeling niet kan zorgen voor een beschermingsniveau dat gelijkwaardig is aan het beschermingsniveau dat bestaat binnen de EU. Net als bij de “eerste versie” van het privacy Shield, Safe Harbor, is de reden daarvoor de vergaande inmenging van Amerikaanse inlichtingendiensten, die systematisch en op grote schaal data monitoren van bijvoorbeeld e-mails en cloud-opslagdiensten op basis van bijvoorbeeld de Foreign Intelligence Surveillance Act, de Executive Order 12333 of de Presidential Policy Directive.

Ok, maar dit is Amerikaans recht en dit geldt alleen voor data binnen de VS? Nee, niet helemaal. Sinds 23 maart 2018 is de Clarifying Lawful Use of Overseas Data Act (CLOUD Act) van toepassing in de VS. Amerikaanse aanbieders van elektronische communicatiediensten worden hierdoor verplicht om gegevens die middels hun diensten worden “verwerkt” te bewaren en te verstrekken op verzoek van de Amerikaanse overheid. Dit kan zonder rechterlijke toetsing, ongeacht waar ter wereld de servers staan.

Ook als een dochterbedrijf als “rechtspersoon uit de VS” data binnen Europa verwerkt, kan er hierdoor sprake zijn van een onvoldoende beschermingsniveau. Dit is anders wanneer het dochterbedrijf een rechtspersoon is naar Europees recht. Dan is immers de AVG op deze rechtspersoon van toepassing.

Vragen over dit onderwerp?

Het blijft voorlopig belangrijk om de nodige maatregelen te blijven treffen totdat er een nieuw adequaatheidsbesluit is. Heb je nog vragen over dit onderwerp, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.