Doorgifte van persoonsgegevens naar de Verenigde Staten en daarmee de inschakeling van Amerikaanse bedrijven is al jaren een heikel onderwerp. Op 10 juli 2023 is daar, voorlopig, een einde aan gekomen.

Op 10 juli 2023 heeft de Europese Commissie een adequaatheidsbesluit genomen voor het EU-VS Data Privacy Framework (“Framework”). Op basis van dit Framework mogen persoonsgegevens vrijelijk worden doorgegeven naar bedrijven in de VS, mits die zich bij het Framework hebben aangesloten.

De gevolgen van dit adequaatheidsbesluit zetten wij in deze mail kort uiteen.

Achtergrond: Schrems II

Nadat het Hof van Justitie van de Europese Unie (“HvJEU”) in 2020 het toenmalige adequaatheidsbesluit, het zogeheten Safe Harbor ongeldig had verklaard, deed zij in 2021 hetzelfde met de opvolger daarvan, het Privacy Shield. De Amerikaanse wetgeving zou onvoldoende waarborgen bieden tegen surveillance door Amerikaanse inlichtingendiensten. Na deze uitspraak in de Schrems II-zaak was doorgifte naar de VS niet zonder meer toegestaan. Persoonsgegevens mochten alleen worden doorgegeven naar de VS indien sprake was van een alternatief doorgifteinstrument, zoals de zogeheten Standard Contractual Clauses van de Europese Commissie (“EC”). Bovendien waren aanvullende waarborgen nodig, omdat zelfs deze Standard Contractual Clauses volgens het HvJEU onvoldoende bescherming boden. Hierdoor was het zeer moeilijk en in vaak zelfs praktisch onmogelijk om in overeenstemming met Algemene verordening gegevensbescherming (“AVG”) persoonsgegevens door te geven naar de VS.

Wat houdt het Data Privacy Framework in?

De EC heeft deze week de opvolger van het Privacy Shield aangenomen. Dit besluit volgt op een besluit van de Amerikaanse president Biden, dat extra waarborgen bevat voor de bescherming van persoonsgegevens van Europese burgers. De belangrijkste veranderingen zijn:

1. Amerikaanse regelgeving bevat nu bindende waarborgen die toegang tot de gegevens door Amerikaanse inlichtingendiensten beperken tot wat noodzakelijk en proportioneel is om de nationale veiligheid te beschermen;
2. Er is verscherpt toezicht op de activiteiten van de Amerikaanse inlichtingendiensten om ervoor te zorgen dat de regels ten aanzien van surveillance worden nageleefd; en
3. Betrokkenen kunnen nu ook in de VS verhaal halen met betrekking tot de verzameling en het gebruik van hun gegevens door Amerikaanse inlichtingendiensten bij een onafhankelijk en onpartijdig beroepsmechanism, de Data Protection Review Court.

Amerikaanse partijen kunnen zich aansluiten bij het Data Privacy Framework middels zelfcertificering. Met deze certificering verbinden partijen zich tot het naleven van specifieke privacyverplichtingen, waaronder beginselen zoals doelbinding, dataminimalisatie en beveiliging. Het Amerikaanse Ministerie van Economische Zaken registreert en monitort de certificering. Registratie is mogelijk via de website van het ministerie. De Amerikaanse Federal Trade Commission houdt toezicht op de naleving van deze verplichtingen.

Wat zijn de gevolgen?

Huidige instrumenten blijven geldig: voor zover er gebruik wordt gemaakt van Standaard Contractual Clauses of vergelijkbare instrumenten voor doorgifte naar de VS blijven deze geldig. Wij adviseren om in dit geval ook nog te beoordelen of aanvullende maatregelen nodig zijn met dien verstande dat gegevensexporteurs rekening moeten houden met de beoordeling van de EC in het adequaatheidsbesluit. De waarborgen die de Amerikaanse overheid heeft genomen gelden namelijk ook ten aanzien van overige doorgifteinstrumenten.

Het adequaatheidsbesluit als alternatief instrument: voor zover er samenwerkingen zijn of worden aangegaan met Amerikaanse partijen kan deze doorgifte plaatsvinden op basis van het Data Privacy Framework. Let wel, dit kan alleen indien deze partijen ook daadwerkelijk zijn aangesloten bij het Framework.

Een oplossing voor de lange termijn?

Volgens de privacyactivist Max Schrems, die de twee voorgangers van het adequaatheidsbesluit succesvol heeft aangevochten, moet ook het Data Privacy Framework ongeldig worden verklaard. Hij schrijft dat het Framework feitelijk een kopie is van het Privacy Shield, met onvoldoende waarborgen tegen Amerikaanse surveillance. Zijn stichting none of your business heeft al aangekondigd dat zij weer een procedure zal starten bij het HvJEU. De stichting verwacht dat het HvJEU binnen twee jaar uitspraak zal doen waarin zij óf het besluit ongeldig verklaart óf meer duidelijkheid verschaft over de naleving daarvan.

Kortom, de komende twee jaar kan je vertrouwen op de geldigheid van het Data Privacy Framework.

Wat nu?

De verschillende instrumenten voor doorgifte mogen gestapeld worden. Wij adviseren daarom om voor bestaande samenwerkingen de Standard Contractual Clauses te blijven gebruiken. Daarbovenop kan het geen kwaad dat de ontvangende partij zich ook certificeert bij het Data Privacy Framework.

Voor nieuwe samenwerkingen volstaat het als de ontvangende partij geregistreerd is bij het Data Privacy Framework. De lijst van deelnemers kun je op deze webpagina vinden. Gezien de onzekerheid over de lange termijn, adviseren wij wel om ook voor nieuwe samenwerkingen ook Standard Contractual Clauses te sluiten. Zolang het certificeringsproces nog niet operationeel is, is het in ieder geval noodzakelijk om Standard Contractual Clauses af te sluiten.

Het Europees Comité voor gegevensbescherming (“EDPB”) heeft ondertussen een informatienota gepubliceerd met vragen en antwoorden over doorgifte naar de VS. Wanneer de EDPB en/of de Autoriteit Persoonsgegevens verdere informatie verschaffen, zullen wij daarover een update plaatsen op onze website.