Het nieuwe EU-US Data Privacy Framework voor doorgifte persoonsgegevens naar de VS
Allereerst, wat is een adequaatheidsbesluit?
Bedrijven, instellingen of organisaties verwerken veel persoonsgegevens. Soms worden die gegevens opgeslagen op servers van partijen buiten de EU, of worden gegevens op andere wijze doorgegeven naar zogenaamde derde landen (landen buiten de EU).
Het is op grond van de Algemene Verordening Gegevensbescherming (hierna: AVG) in principe niet toegestaan om persoonsgegevens te delen met die derde landen. De AVG geldt immers niet in deze landen en de vrees bestaat dat de persoonsgegevens van de betrokkenen uit de EU niet goed genoeg worden beschermd. Er geldt daarom een zogenaamd ‘doorgifteverbod’. Persoonsgegevens mogen alleen onder bepaalde voorwaarden naar derde landen worden doorgegeven. Deze voorwaarden – of uitzonderingen op het doorgifteverbod - staan opgesomd in de AVG. Het zijn er vier. Doorgifte naar een derde land is bijvoorbeeld wel toegestaan (onder voorwaarden) als de Europese Commissie een zogenaamd adequaatheidsbesluit heeft genomen ten aanzien van dat land.
Een adequaatheidsbesluit houdt simpel gezegd in dat het beschermingsniveau van een derde land, grondgebied of een specifieke verwerkingssector in een derde land door de Europese Commissie adequaat wordt verklaard. Dit beschermingsniveau komt dan volgens de Europese Commissie min of meer overeen met het beschermingsniveau dat in de EU wordt verzekerd. Bij het beoordelen van het beveiligingsniveau wordt onder meer rekening gehouden met de mate van toegang tot de rechter, de rechtsstatelijkheid en de vraag of de internationale mensenrechtenregels en -normen worden erkend.
Doorgifte naar de VS
Er is in het verleden veel te doen geweest over het doorgeven van persoonsgegevens naar de Verenigde Staten. Het was bekend dat de Verenigde Staten niet voldeden aan het in Europa destijds geldende beschermingsniveau. Om doorgifte van persoonsgegevens naar de Verenigde Staten toch mogelijk te maken is in 2000 door de Europese Commissie voor het eerst een verdrag gesloten met de Verenigde Staten, het ‘Safe Harbour-verdrag’. Amerikaanse bedrijven konden zich daar bij aan sluiten als ze aan de voorwaarden daarvoor voldeden. Er mochten persoonsgegevens doorgegeven worden naar Amerikaanse bedrijven die waren aangesloten bij het Safe Harbour-Framework, omdat zij door Europa in dat geval werden beschouwd als bedrijven met een passend beschermingsniveau.
In 2015 heeft het Hof van Justitie van de Europese Unie het Safe Harbour-verdrag met het zogenaamde Schrems-I arrest ongeldig verklaard. Het werd namelijk duidelijk dat Amerikaanse bedrijven door Amerikaanse wetgeving soms werden verplicht om databeschermingswetgeving te negeren. De Amerikaanse afluisterdienst (NSA) had bijvoorbeeld vrije toegang tot onder meer persoonsgegevens van Amerikaanse bedrijven die waren aangesloten bij het Safe Harbour-Framework. Aldus bleek dat persoonsgegevens van Europeanen alsnog onvoldoende beschermd waren.
In 2016 kwam de vervanger van het Safe Harbour-verdrag, namelijk het EU-US Privacy Shield. Dit betrof een adequaatheidsbelsuit. Ook dit Privacy Shield is ongeldig verklaard door het Hof van Justitie van de Europese Unie. Dit gebeurde in 2020 naar aanleiding van het Schrems II arrest. Reden daarvoor was onder meer dat Amerikaanse veiligheidsdiensten in principe nog steeds toegang hadden tot persoonsgegevens van personen die geen Amerikaans staatsburger waren. Daarnaast bestond geen rechterlijk toezicht op de manier waarop de veiligheidsdiensten zich toegang tot die persoonsgegevens verschaften. Betrokkenen kregen onder het Privacy Shield bovendien geen toegang tot een onafhankelijk/onpartijdige instantie om hun rechten onder de privacywetgeving te kunnen uitoefenen.
Lacune
Aldus ontbrak sinds 2020 een adequaatheidsbesluit voor doorgifte van persoonsgegevens naar de VS. In de praktijk was dat een enorm probleem omdat bijna elke organisatie wel gebruik maakte van bijvoorbeeld software van Amerikaanse partijen. Opslag van gegevens in de VS was dus feitelijk niet toegestaan. Partijen, zoals bijv. Google, probeerden de ontstane lacune te dichten door met modelcontracten te werken. Dat is immers een van de andere uitzonderingen uit de AVG op het doorgifteverbod naar derde landen. Niettemin bestond er veel onduidelijkheid of dit wel een geschikte basis kon zijn voor doorgifte. Daar werd door juristen openlijk aan getwijfeld.
In de tussentijd publiceerde de EDPD nog aanbevelingen hoe om te gaan met de situatie, maar eerlijk gezegd boden die ook weinig soelaas. Wij schreven daar overigens eerder over. Lees dat bericht hier.
EU-US Data Privacy Framework
Op 10 juli 2023 heeft de Europese Commissie dan eindelijk een nieuw adequaatheidsbesluit genomen, te weten het EU-VS-kader (EU-US Data Privacy Framework). Dit is de derde poging om te waarborgen dat Europese persoonsgegevens in de Verenigde Staten aan een passend beschermingsniveau worden onderworpen en zodoende doorgifte van persoonsgegevens naar de Verenigde Staten mogelijk te maken.
Voorafgaand aan het besluit van de Europese Commissie is in de VS een Executive Order getekend, waarmee de mogelijkheden voor veiligheidsdiensten aan dataverzameling zijn beperkt. Daardoor zijn er meer waarborgen om de toegang van Amerikaanse overheidsinstanties (zoals veiligheidsdiensten) tot EU-persoonsgegevens te beperken tot hetgeen strikt noodzakelijk is om de nationale veiligheid te beschermen. Bovendien wordt daar nu toezicht op gehouden door een instantie.
Onder het Privacy Shield was er een gebrek aan afdwingbare rechten voor betrokkenen uit de EU. Dat heeft men in het Framework proberen te ondervangen met de CLPO en de DRPC. Betrokkenen hebben inmiddels de mogelijkheid een klacht in te dienen bij de Civil Liberties Protection Officer (CLPO). Hier kunnen betrokkenen een klacht indienen indien zij van mening zijn dat de Amerikaanse overheid zich op onrechtmatige wijze toegang heeft verschaft tot hun persoonsgegevens. Betrokkenen kunnen bovendien ook tegen een beslissing van deze CLPO in beroep, dit kan bij de Data Protection Review Court (DPRC). De DPRC vormt een onafhankelijk tribunaal. Indien de DPRC beslist dat de beslissing van de CLPO onjuist was, dan kan de DPRC een passende maatregel opleggen.
Toekomst?
Op het nieuwe Framework is inmiddels alweer kritiek. Critici menen dat het Framework de problemen van het Privacy Shield niet of onvoldoende oplost. Niet valt uit te sluiten dat ook dit Framework ter toetsing aan het Europese Hof van Justitie zal worden voorgelegd.
Krijgen we een Schrems-III? Wij houden het uiteraard voor u in de gaten.
Vraagt u zich af wat het nieuwe Framework voor u betekent? Neem gerust contact op.