Auteur: Sander van Oostrom
In dit artikel bespreekt VIA-jurist Sander van Oostrom een nieuw adequaatheidsbesluit: het EU-US Data Privacy Framework (Privacy Framework)
De Europese Commissie heeft een belangrijke stap gezet met betrekking tot de doorgifte van persoonsgegevens naar de Verenigde Staten (VS), door het aannemen van een nieuw adequaatheidsbesluit: het EU-US Data Privacy Framework (Privacy Framework). Een adequaatheidsbesluit betekent dat de Europese Commissie van mening is dat het land veilig genoeg is om persoonsgegevens mee uit te wisselen. Hierdoor is het vanaf dit moment (wéér) rechtmatig mogelijk is om persoonsgegevens naar de VS te sturen. Dit besluit heeft echter de nodige vragen opgeroepen. Eerder gingen we al dieper in op de regels die gelden voor de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER).
Om de recente ontwikkelingen te begrijpen, moeten we terugkijken naar de uitspraken van Schrems I (Safe Harbour) en Schrems II (Privacy Shield). Het Hof van Justitie van de Europese Unie heeft in deze zaken vastgesteld dat de Amerikaanse inlichtingendiensten een te ruime bevoegdheid hadden tot Europese persoonsgegevens. Dit betekende dat ze vrij gemakkelijk toegang konden krijgen tot de persoonsgegevens van EU-burgers als deze waren opgeslagen op Amerikaanse servers. Daarnaast hadden EU-burgers niet voldoende juridische bescherming tegen deze toegang. Dit leidde praktisch gezien tot een verbod op het delen van persoonsgegevens met organisaties gevestigd in de VS.
Volgens het persbericht van de Europese Commissie volgt uit het Privacy Framework dat de VS een passend beschermingsniveau garandeert - vergelijkbaar met dat van de Europese Unie - voor persoonsgegevens die vanuit de EU worden doorgegeven aan Amerikaanse bedrijven.
Volgens de Europese Commissie komt het Privacy Framework tegemoet aan alle bezwaren van het Hof van Justitie van de Europese Unie, onder andere met betrekking tot de toegang tot Europese persoonsgegevens door Amerikaanse inlichtingendiensten. Het betekent onder meer dat persoonsgegevens gewist moeten worden wanneer die niet langer nodig zijn. Volgens het besluit moet de toegang die de VS heeft tot burgers uit de EU ‘beperkt zijn tot wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen’. Op dit moment is het nog niet duidelijk wat dit precies inhoudt.
Met het adequaatheidsbesluit kunnen persoonsgegevens uit de EU worden doorgegeven naar de VS, op voorwaarde dat de ontvangende Amerikaanse organisatie zich houdt aan de regels van het Privacy Framework. Amerikaanse bedrijven die momenteel gecertificeerd zijn onder het (verouderde) ‘EU-US Privacy Shield Framework’ (dat ongeldig werd verklaard door Schrems II) krijgen de mogelijkheid tot een vereenvoudigde procedure voor certificering onder het ‘EU-US Data Privacy Framework’. Wanneer de Amerikaanse organisatie hierbij is aangesloten betekent dit dat het gebruik van Standard Contractual Clauses (SCC’s) niet langer nodig zijn.
Het nieuwe adequaatheidsbesluit lijkt (vooralsnog) dé oplossing te bieden voor de problematiek rondom de doorgifte van persoonsgegevens naar bedrijven in de VS. Echter, gezien de eerdere onrechtmatigheid van voorgaande adequaatheidsbesluiten, bestaat er nog onzekerheid over de duurzaamheid van dit besluit. Bekende privacyactivist Max Schrems, de man die Safe Harbour en het Privacy Shield liet sneuvelen, gaat ook het Privacy Framework laten toetsen door het Hof van Justitie van de Europese Unie. Schrems beweert dat het Privacy Framework grotendeels een kopie is van het ongeldig verklaarde Privacy Shield. Voorlopig kunnen persoonsgegevens vanuit de EU, op grond van het EU-US Data Privacy Framework, in ieder geval weer worden doorgegeven aan bedrijven in de VS.
