.png?width=178&height=52&name=logo_transparent%20(4).png "PrivacyPerfect_logo.png"){kind=logo}
De Toekomst van Trans-Atlantische Gegevens: Een Cruciale Stap in Privacy
Het wachten is eindelijk voorbij! Deze maand is door de Europese Commissie het adequaatheidsbesluit voor het EU-VS-kader voor gegevensbescherming aangenomen. In deze blog zullen we bespreken wat dit adequaatheidsbesluit precies inhoudt, wat dit betekent voor bedrijven en burgers in de EEA en de Verenigde Staten en zullen we kort het toekomstperspectief van het kader belichten.
EU-VS-kader voor gegevensbescherming
Op 10 juli 2023, werd het adequaatheidsbesluit voor het EU-VS-kader voor gegevensbescherming aangenomen door de Europese Commissie. Het is een aanname waar bedrijven aan weerszijden van de Atlantische Oceaan lang op hebben gewacht, nadat het EU-VS Privacy Shield in 2020 ongeldig werd verklaard in de zaak Schrems II. Met de aanname van dit adequaatheidsbesluit zal doorgifte van persoonsgegevens tussen de EU en de VS weer mogelijk zijn met voldoende waarborg van de privacy van EU burgers.
Volgens de AVG is er voor een overdracht van persoonsgegevens buiten de EEA een geldige grondslag nodig. Een van deze grondslagen is een doorgifte op basis van adequaatheidsbesluiten. De Europese Commissie heeft de bevoegdheid om door middel van een uitvoeringshandeling te besluiten dat een niet-EU land een adequaat beschermingsniveau biedt dat gelijkwaardig is aan het beschermingsniveau in de EU als het gaat om de bescherming van persoonsgegevens. Dit adequate beschermingsniveau is nu dus ook voor de Verenigde Staten vastgesteld.
Echter betekent dit adequaatheidsbesluit niet dat deze grondslag opgaat voor data doorgiftes vanuit de EEA naar elk Amerikaans bedrijf. Hiervoor is het van belang dat een Amerikaanse bedrijf ook daadwerkelijk deelneemt aan het kader.
Om deel te nemen aan het EU-VS kader moeten bedrijven aan self-certificering doen en een reeks privacy verplichtingen nakomen, zoals dataminimalisatie en regels omtrent het delen van de gegevens met derden. De ‘US Department of Commerce’ behandelt alle certificering aanvragen en zal controleren of alle deelnemende bedrijven aan de vereisten (blijven) voldoen.
Een belangrijke reden voor de ongeldigverklaring van het EU-VS Privacy Shield in 2020 was het feit dat Amerikaanse overheidsinstanties, waaronder inlichtingendiensten, onder voorwaarden bij de data konden komen die vanuit de EU in de VS werden opgeslagen. Hier speelt het nieuwe EU-VS-kader voor gegevensbescherming, samen met de Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, nu op in door deze mogelijkheid te beperken tot gevallen die noodzakelijk en evenredig zijn. Ook is in de Verenigde Staten de Data Protection Review Court (DPRC) opgericht, waarbij natuurlijke personen uit de EU terechtkunnen in het geval van gegevensverzameling en gegevensgebruik door de Amerikaanse Inlichtingendiensten.
Hoewel het EU-VS-kader voor gegevensbescherming de trans-Atlantische gegevensstroom eenvoudiger maakt, ontvangt het vanuit verschillende hoeken kritiek. Ook Max Schrems heeft zijn twijfels als het gaat om het nieuwe goedgekeurde kader en noemt het “een kopie van het eerder ongeldig verklaarde Privacy Shield”. Hij is dan ook vastberaden om het verdrag te laten toetsen door het Europese Hof.
Of het EU-VS-kader voor gegevensbescherming de definitieve oplossing zal zijn voor een eenvoudige doorgifte van persoonsgegevens vanuit de EU naar de VS is dus nog maar de vraag. De werking van het EU-VS-kader voor gegevensbescherming zal periodiek worden getoetst door de Europese Commissie. De eerste toetsing zal volgend jaar, een jaar na de inwerkingtreding, plaatsvinden.
PrivacyPerfect volgt alle nieuwe ontwikkelingen op het gebied van privacy op de voet. Wanneer zich nieuwe ontwikkelingen voordoen wat betreft het EU-VS kader voor gegevensbescherming zullen wij hier over publiceren. Houd onze blogs daarom goed in de gaten om op de hoogte te blijven.
Tot volgende keer!
Team PrivacyPerfect
SHARE