• Home |
  • Kennis |
  • Doorgifte van persoonsgegevens naar de VS (voorlopig) weer eenvoudiger

Doorgifte van persoonsgegevens naar de VS (voorlopig) weer eenvoudiger

Data privacy framework

De doorgifte van persoonsgegevens door Europese organisaties aan bedrijven in de Verenigde Staten is een stuk eenvoudiger geworden. Op 10 juli 2023 heeft de Europese Commissie namelijk een zogenaamd adequaatheidsbesluit vastgesteld. Op grond van het adequaatheidsbesluit is het mogelijk om persoonsgegevens door te geven aan bedrijven in de Verenigde Staten, zonder dat aanvullende waarborgen voor de bescherming van de persoonsgegevens noodzakelijk zijn.

Doorgifte van persoonsgegevens naar de VS

De doorgifte van persoonsgegevens naar bedrijven in de VS vormt al jarenlang een heet hangijzer. De VS biedt namelijk geen wettelijk beschermingsniveau dat gelijkwaardig is aan het niveau in de EU. Daarom mag de doorgifte vanuit EU-landen naar de VS alleen plaatsvinden onder strenge aanvullende voorwaarden. Veel organisaties voldoen (nog steeds) niet aan die voorwaarden.  

Meerdere overeenkomsten tussen EU en de VS gesneuveld

Aanvankelijk werd met de Safe Harbor overeenkomst beoogd een passend niveau van gegevensbescherming te waarborgen. Deze overeenkomst werd in het “Schrems-I” arrest echter ongeldig verklaard. Daarna is het Privacy Shield geïntroduceerd.

Op 16 juli 2020 werd met het “Schrems II” arrest ook het Privacy Shield ongeldig verklaard vanwege aanhoudende zorgen over massasurveillance door Amerikaanse inlichtingendiensten. Het Europese Hof van Justitie oordeelde ook dat Europese burgers onvoldoende mogelijkheden hadden om klachten over de verwerking van hun persoonsgegevens voor te leggen aan een Amerikaanse rechter.

Doorgifte alleen mogelijk na aanvullende maatregelen

Sinds het Schrems II arrest is doorgifte naar de VS in de meeste gevallen alleen mogelijk door gebruik te maken van zogenaamde “standard contractual clauses”.

Naast het gebruik van deze standaardcontracten moeten organisaties die persoonsgegevens naar de VS willen doorgeven, zelf per geval evalueren welke aanvullende maatregelen ter bescherming van persoonsgegevens noodzakelijk zijn. Denk hierbij bijvoorbeeld aan encryptie of pseudonimisering. Juist de noodzaak tot het doen van een grondige analyse en het aansluitend daadwerkelijk treffen van aanvullende maatregelen vormen in de praktijk vaak een struikelblok.

EU – US Data Privacy Framework

De Europese Commissie heeft getracht een oplossing te bieden door een nieuw adequaatheidsbesluit vast te stellen ten aanzien van de VS. Een adequaatheidsbesluit is een juridisch instrument van de Europese Unie dat de overdracht van persoonsgegevens vanuit de EU naar een derde land mogelijk maakt, op voorwaarde dat het land een passend niveau van gegevensbescherming biedt. Het adequaatheidsbesluit is vastgesteld naar aanleiding van het EU – US Data Privacy Framework (“DPF”) dat de Europese Commissie samen met de VS heeft ingericht.

Bedrijven in de VS die zich verbinden aan het DPF moeten voldoen aan diverse aanvullende verplichtingen die we ook kennen uit de AVG. Zo moeten aangesloten bedrijven zich houden aan de verplichting om persoonsgegevens te verwijderen als deze niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld. Ook beoogt het DPF de inzagemogelijkheid voor Amerikaanse geheime diensten te beperken. Inzage mag alleen als dat noodzakelijk en evenredig is ter bescherming van nationale veiligheid. Ook wordt een Data Protection Review Court ingericht, die beoogt meer rechtsbescherming aan Europese inwoners te bieden.

Niet alle Amerikaanse bedrijven kunnen overigens voldoen aan de eisen uit het DPF. Volgens de Europese Commissie kunnen bijvoorbeeld bedrijven uit de bank- en verzekeringssector niet aan het DPF deelnemen. Doorgifte aan die bedrijven blijft dus enkel mogelijk op basis van de huidige strenge voorwaarden.

Probleem opgelost of wachten op Schrems-III?

Nu het adequaatheidsbesluit is vastgesteld, is het weer mogelijk om persoonsgegevens door te geven aan deelnemende bedrijven in de Verenigde Staten, zonder dat aanvullende maatregelen voor de bescherming van de persoonsgegevens noodzakelijk zijn. Dat maakt in die gevallen doorgifte van persoonsgegevens een stuk eenvoudiger. Doorgifte aan bedrijven die niet aan het DPF deelnemen blijft complex.

Of Europese organisaties lang van het adequaatheidsbesluit kunnen “genieten” is zeer de vraag. De heer Schrems heeft (via zijn privacy stichting “noyb”) immers al direct laten weten dat ook het nieuwe Framework wat hem betreft dient te sneuvelen: New Trans-Atlantic Data Privacy Framework largely a copy of “Privacy Shield”. noyb will challenge the decision.”

Wij houden de ontwikkelingen voor je in de gaten!

Stel je vragen aan onze specialisten

“Neem contact met mij op en ontvang antwoord op jouw vragen. Ik ben bereikbaar per mail of telefoon.”
Joost Mosselman