.png?width=178&height=52&name=logo_transparent%20(4).png "PrivacyPerfect_logo.png"){kind=logo}
VOOR NEDERLANDS SCROLL NAAR BENEDEN 👇
EN
The wait is finally over! On 10th July 2023, the European Commission made a landmark decision by adopting the EU-US Data Privacy Framework's adequacy decision. In this blog post, we look with you at how, with this adequacy decision in place, the transfer of personal data between the EU and the US is set to regain momentum, safeguarding the privacy of EU citizens through robust measures. However, questions remain: How will this framework impact data transfers and compliance for American companies? What does it mean for the future of transatlantic data privacy?
EU-US Data Privacy Framework
On 10th July 2023, the European Commission adopted the adequacy decision for the EU-US Data Privacy Framework. It is an adoption long awaited by companies on both sides of the Atlantic after the EU-US Privacy Shield was declared invalid in the Schrems II case in 2020. With the adoption of this adequacy decision, transfers of personal data between the EU and the US will again be possible with sufficient safeguards for the privacy of EU citizens.
According to the GDPR, a valid legal ground is required for the transfer of personal data outside the EEA. One of those legal grounds is a transfer based on adequacy decisions. The European Commission has the authority to decide through an implementing act that a non-EU country provides an adequate level of protection that is equivalent to the level of protection in the EU when it comes to the protection of personal data. This adequate level of protection has now been established for the United States as well.
However, this adequacy decision does not mean that it applies to data transfers from the EEA to every American company. It is important that an American company actually participates in the framework. To participate in the EU-US framework, companies must self-certify and comply with a set of privacy obligations, such as data minimisation and rules regarding sharing data with third parties. The US Department of Commerce handles all certification applications and will verify whether all participating companies (still) comply with the requirements.
An important reason for the invalidation of the EU-US Privacy Shield in 2020 was the fact that US government agencies, including intelligence services, could access the personal data stored in the US from the EU under certain conditions. The new EU-US Data Privacy Framework, together with the Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, now addresses this issue by limiting this possibility to cases that are necessary and proportionate. The United States has also established the Data Protection Review Court (DPRC), which individuals from the EU can turn to in case of data collection and data use by US national security authorities.
Although the EU-US Data Privacy Framework makes transatlantic data flows easier, it does receive criticism. Max Schrems also has his doubts when it comes to the newly adopted framework, calling it "a copy of the previously invalidated Privacy Shield." He is determined to have the agreement reviewed by the European Court.
Whether the EU-US Data Privacy Framework will be the definitive solution for the transfer of personal data from the EU to the US on the basis of an adequacy decision remains to be seen. The operation of the EU-US Data Privacy framework will be periodically evaluated by the European Commission. The first evaluation will take place next year, one year after it comes into effect.
PrivacyPerfect keeps on closely following all new developments in the field of privacy. When new developments occur with regard to the EU-US data protection framework, we will publish about this. So keep a close eye on our blogs to stay informed.
Till the next time!
Team PrivacyPerfect
NL
De Toekomst van Trans-Atlantische Gegevens: Een Cruciale Stap in Privacy
Het wachten is eindelijk voorbij! Deze maand is door de Europese Commissie het adequaatheidsbesluit voor het EU-VS-kader voor gegevensbescherming aangenomen. In deze blog zullen we bespreken wat dit adequaatheidsbesluit precies inhoudt, wat dit betekent voor bedrijven en burgers in de EEA en de Verenigde Staten en zullen we kort het toekomstperspectief van het kader belichten.
EU-VS-kader voor gegevensbescherming
Op 10 juli 2023, werd het adequaatheidsbesluit voor het EU-VS-kader voor gegevensbescherming aangenomen door de Europese Commissie. Het is een aanname waar bedrijven aan weerszijden van de Atlantische Oceaan lang op hebben gewacht, nadat het EU-VS Privacy Shield in 2020 ongeldig werd verklaard in de zaak Schrems II. Met de aanname van dit adequaatheidsbesluit zal doorgifte van persoonsgegevens tussen de EU en de VS weer mogelijk zijn met voldoende waarborg van de privacy van EU burgers.
Volgens de AVG is er voor een overdracht van persoonsgegevens buiten de EEA een geldige grondslag nodig. Een van deze grondslagen is een doorgifte op basis van adequaatheidsbesluiten. De Europese Commissie heeft de bevoegdheid om door middel van een uitvoeringshandeling te besluiten dat een niet-EU land een adequaat beschermingsniveau biedt dat gelijkwaardig is aan het beschermingsniveau in de EU als het gaat om de bescherming van persoonsgegevens. Dit adequate beschermingsniveau is nu dus ook voor de Verenigde Staten vastgesteld.
Echter betekent dit adequaatheidsbesluit niet dat deze grondslag opgaat voor data doorgiftes vanuit de EEA naar elk Amerikaans bedrijf. Hiervoor is het van belang dat een Amerikaanse bedrijf ook daadwerkelijk deelneemt aan het kader.
Om deel te nemen aan het EU-VS kader moeten bedrijven aan self-certificering doen en een reeks privacy verplichtingen nakomen, zoals dataminimalisatie en regels omtrent het delen van de gegevens met derden. De ‘US Department of Commerce’ behandelt alle certificering aanvragen en zal controleren of alle deelnemende bedrijven aan de vereisten (blijven) voldoen.
Een belangrijke reden voor de ongeldigverklaring van het EU-VS Privacy Shield in 2020 was het feit dat Amerikaanse overheidsinstanties, waaronder inlichtingendiensten, onder voorwaarden bij de data konden komen die vanuit de EU in de VS werden opgeslagen. Hier speelt het nieuwe EU-VS-kader voor gegevensbescherming, samen met de Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, nu op in door deze mogelijkheid te beperken tot gevallen die noodzakelijk en evenredig zijn. Ook is in de Verenigde Staten de Data Protection Review Court (DPRC) opgericht, waarbij natuurlijke personen uit de EU terechtkunnen in het geval van gegevensverzameling en gegevensgebruik door de Amerikaanse Inlichtingendiensten.
Hoewel het EU-VS-kader voor gegevensbescherming de trans-Atlantische gegevensstroom eenvoudiger maakt, ontvangt het vanuit verschillende hoeken kritiek. Ook Max Schrems heeft zijn twijfels als het gaat om het nieuwe goedgekeurde kader en noemt het “een kopie van het eerder ongeldig verklaarde Privacy Shield”. Hij is dan ook vastberaden om het verdrag te laten toetsen door het Europese Hof.
Of het EU-VS-kader voor gegevensbescherming de definitieve oplossing zal zijn voor een eenvoudige doorgifte van persoonsgegevens vanuit de EU naar de VS is dus nog maar de vraag. De werking van het EU-VS-kader voor gegevensbescherming zal periodiek worden getoetst door de Europese Commissie. De eerste toetsing zal volgend jaar, een jaar na de inwerkingtreding, plaatsvinden.
PrivacyPerfect volgt alle nieuwe ontwikkelingen op het gebied van privacy op de voet. Wanneer zich nieuwe ontwikkelingen voordoen wat betreft het EU-VS kader voor gegevensbescherming zullen wij hier over publiceren. Houd onze blogs daarom goed in de gaten om op de hoogte te blijven.
Tot volgende keer!
Team PrivacyPerfect
SHARE