Na 2 jaar wordt het weer mogelijk om probleemloos en zonder extra maatregelen data te delen met partijen in de VS! Gisteren heeft de Europese Commissie het adequaatheidsbesluit voor veilige gegevensuitwisseling met de Verenigde Staten goedgekeurd. Het EU-U.S. Data Privacy Framework is de opvolger van het Privacy Shield. Een enorme opluchting voor velen, na 2 jaar van onzekerheid en vooral veel gedoe om AVG-proof gebruik te mogen maken van Amerikaanse software, platforms en apps.
Over het EU-U.S. Data Privacy Framework
In de zomer van 2020 werd het Privacy Shield na de rechtszaak Schrems II ongeldig verklaard.
De reden?
Door middel van het Privacy Shield zou datadoorgifte niet voldoen aan de eisen die Europa stelt aan privacy en gegevensbescherming.
De afgelopen 2 jaar was het delen van gegevens met Amerikaanse partijen een regelrechte ramp. Officieel was dit enkel mogelijk met behulp van Standard Contractual Clauses (SCC) en door data met aanvullende waarborgen te verzenden, zoals encryptie zonder sleutel in Amerika.
Het EU-U.S. Data Privacy Framework (DPF) komt dan ook als een opluchting voor velen. Op basis van het nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig van de EU worden doorgegeven naar Amerikaanse bedrijven die deelnemen aan het Data Privacy Framework.
Grootste winst?
Er hoeven GEEN aanvullende waarborgen meer voor gegevensbescherming te worden getroffen. Met aangesloten organisaties binnen de VS kan dus op dezelfde wijze gecontracteerd worden als met organisaties binnen de EER.
Let op!
Amerikaanse bedrijven moeten eerst deelnemen aan het Data Privacy Framework, voordat deze op hen van toepassing is.
Dit doen zij door akkoord te gaan met de naleving van een gedetailleerde reeks privacyverplichtingen. Denk hierbij bijvoorbeeld aan AVG-principes zoals doelbinding, dataminimalisatie en dataretentie, maar ook aan specifieke verplichtingen rondom databeveiliging en het delen van data met derden.
Waarom is data delen met de VS nu wel weer mogelijk?
Er waren een aantal redenen waarom het Privacy Shield in 2020 nietig werd verklaard.
De belangrijkste?
Amerikaanse inlichtingen- en veiligheidsdiensten hebben het recht om gegevens van EU-burgers in te zien en te gebruiken. Ze hebben toegang tot alle gegevens en mogen deze naar eigen inzicht verwerken.
Het Amerikaanse ombudsman-mechanisme biedt onvoldoende bescherming aan EU-burgers met een klacht over de verwerking van hun persoonsgegevens in de VS.
Het EU-U.S. Data Privacy Framework introduceert nieuwe bindende waarborgen om tegemoet te komen aan alle zorgen van het Europese Hof van Justitie.
Zo wordt de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten beperkt tot wat noodzakelijk en evenredig is om de Amerikaanse nationale veiligheid te beschermen.
Ook wordt een Data Protection Review Court (DPRC) geïntroduceerd voor EU-burgers, waarmee ze verhaal kunnen halen over het gebruik van hun gegevens door deze inlichtingendiensten. De DPRC zal klachten onafhankelijk onderzoeken en oplossen, onder meer door bindende corrigerende maatregelen vast te stellen.
Schrems spreekt zich uit: “grotendeels een kopie van mislukte Privacy Shield”
Max Schrems - die eerder verantwoordelijk was voor de nietigverklaring van het Privacy Shield - laat het er niet bij zitten. Hij noemt het nieuwe Data Privacy Framework grotendeels een kopie van het mislukte Privacy Shield.
Op de site van zijn organisatie NOYB valt te lezen dar er ondanks de public relations inspanningen van de Europese Commissie weinig verandert aan de Amerikaanse wetgeving of de aanpak van de EU.
Er wordt gesproken over goocheltrucs met woorden en interpretaties, maar niet van feitelijke verbeteringen. Max Schrems en zijn organisatie gaan de zaak aanvechten en verwachten dat deze begin volgend jaar terugkomt bij het Europese Hof van Justitie.
Wordt vervolgd dus….
Op dit moment kunt u in ieder geval zorgeloos gegevens uitwisselen met Amerikaanse bedrijven die deelnemen aan het Data Privacy Framework.
Wat is een adequaatheidsbesluit als het EU-U.S. Data Privacy Framework eigenlijk?
Volgens de AVG mag een organisatie persoonsgegevens alleen doorgeven naar landen buiten de Europese Economische Ruimte (EER) met een passend beschermingsniveau.
Buiten de EER zijn er landen, waarover de Europese Commissie een adequaatheidsbesluit heeft genomen (waaronder Argentinië, Japan en Nieuw-Zeeland). De Europese Commissie stelt bij zo’n beslissing vast dat de gegevensbeschermingswetgeving in dat land van een vergelijkbaar niveau is als de AVG.
Het EU-US Data Privacy Framework is zo’n adequaatheidsbesluit. Hiermee heeft Europa bepaald dat Amerikaanse partijen die deelnemen aan dit framework een passend beschermingsniveau waarborgen, dat minimaal gelijk is aan het niveau in de EER.
Zeker weten dat u niks mist?
Wij houden u op de hoogte van de belangrijkste ontwikkelingen rondom ICT en recht. Weten hoe het verder gaat met het EU-US Data Privacy Framework? Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.