In juli 2023 werd het Data Privacy Framework goedgekeurd door de Europese Commissie. Dit adequaatheidsbesluit voor veilige gegevensuitwisseling met de Verenigde Staten is de opvolger van het nietig verklaarde Privacy Shield. Nu ruim een jaar later heeft de eerste evaluatie van het Data Privacy Framework plaatsgevonden. De uitkomsten zijn overwegend positief, maar er zijn ook verbeterpunten gevonden. Belangrijkste aandachtspunt? De toegang tot persoonsgegevens door Amerikaanse inlichtingendiensten.

Wat is het Data Privacy Framework?

Persoonsgegevens delen met landen buiten de Europese Economische Ruimte (EER) mag niet zomaar. Volgens de AVG mag een organisatie persoonsgegevens alleen doorgeven naar landen buiten de EER met een passend beschermingsniveau.

Ten aanzien van landen die een passend beschermingsniveau bieden, kan de Europese Commissie (EC) een adequaatheidsbesluit nemen.

Het EU-U.S. Data Privacy Framework is een adequaatheidsbesluit, waarmee persoonsgegevens veilig kunnen worden doorgegeven van de EU naar Amerikaanse bedrijven die deelnemen aan het Data Privacy Framework.

Amerikaanse bedrijven nemen deel door akkoord te gaan met de naleving van een gedetailleerde reeks privacy verplichtingen, zoals dataminimalisatie en databeveiliging.

Eerste evaluatie Data Privacy Framework: de positieve punten

Nu het Data Privacy Framework een jaar in gebruik is, heeft de European Data Protection Board (EDPB) een eerste evaluatie uitgevoerd.

De Europese toezichthouders hebben gekeken naar de toepassing en handhaving van de vereisten die gelden voor de Amerikaanse bedrijven die zich hebben aangesloten bij het Data Privacy Framework.

Uit de evaluatie blijkt dat het Amerikaanse ministerie van Handel alle relevante stappen heeft ondernomen om het certificeringsproces te implementeren. Dit omvat het ontwikkelen van een nieuwe website, het bijwerken van procedures, het samenwerken met bedrijven en het uitvoeren van bewustmakingsactiviteiten.

Ook het klachtmechanisme voor EU-burgers komt positief uit de test. Zowel in de VS als in de EU zijn richtlijnen gepubliceerd voor de behandeling van klachten van burgers over het Data Privacy Framework. Tegelijkertijd wordt wel vermeld dat er nog weinig klachten zijn binnengekomen.

Zijn er punten ter verbetering?

Die zijn er zeker. Zo adviseert de EDPB de Amerikaanse autoriteiten om richtlijnen te maken over de omgang met personeelsgegevens, omdat de definities in de VS en de EU niet helemaal overeenkomen. Ook moet het voor Amerikaanse gecertificeerde bedrijven duidelijker worden wat zij wel en niet mogen doen wanneer ze persoonsgegevens doorgeven, die ze hebben ontvangen van EU-exporteurs.

Beschermt het Data Privacy Framework ook tegen inbreuk van Amerikaanse inlichtingendiensten?

De EDPB heeft tijdens de evaluatie ook gekeken naar de waarborgen die ervoor zorgen dat de Amerikaanse inlichtingendiensten niet zomaar toegang hebben tot Europese persoonsgegevens.

Een heikel en belangrijk aspect van het Data Privacy Framework.

Een van de hoofdredenen dat het Privacy Shield nietig werd verklaard, was namelijk het feit dat Amerikaanse inlichtingen- en veiligheidsdiensten het recht hadden om gegevens van EU-burgers in te zien en te gebruiken.

Met het EU-U.S. Data Privacy Framework werden nieuwe bindende waarborgen geïntroduceerd. Deze moeten er onder meer voor zorgen dat de toegang van Amerikaanse inlichtingendiensten tot Europese persoonsgegevens beperkt blijft tot wat noodzakelijk en evenredig is om de Amerikaanse nationale veiligheid te beschermen.

Is dat inderdaad gelukt?

Dat is eigenlijk nog niet goed te beoordelen, aldus de EDPB. Er is nog onvoldoende ervaring mee, menen de Europese toezichthouders. Ze hameren er dan ook op dat dit goed gemonitord moet worden.

Dit punt van de evaluatie biedt weinig geruststelling.

Zeker gezien het feit dat president Biden in april de Amerikaanse Foreign Intelligence Surveillance Act (FISA) met twee jaar heeft verlengd. Hiermee hebben inlichtingendiensten de bevoegdheid om zonder bevel gegevens van niet-Amerikanen over de hele wereld - inclusief Europeanen - te monitoren en te verzamelen.

Deze eerste evaluatie geeft bepaald geen garanties dat de Amerikaanse inlichtingendiensten zich netjes aan de regels houden. Max Schrems (de reden dat beide voorgangers van het Data Privacy Framework nietig zijn verklaard) en zijn organisatie NOYB zullen zich vast niet stil houden.

Zeker weten dat u niks mist?

Wij houden u op de hoogte van de belangrijkste ontwikkelingen rondom ICT en recht. Weten hoe het verder gaat met het EU-US Data Privacy Framework? Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.