16 juli 2020 is een zeer belangrijke datum op het gebied van data privacy en data protectie. Op deze datum verklaarde het Hof van Justitie van de Europese Unie (CJEU) het Privacy Shield framework ongeldig. Deze uitspraak werd bekend als de Schrems II-uitspraak.
Het Privacy Shield framework bood organisaties de mogelijkheid om persoonsgegevens rechtmatig uit te wisselen van de Europese Unie (EU) naar de Verenigde Staten van Amerika (VS). Het framework bestond uit een reeks beschermingsvereisten en waarborgen om de persoonsgegevens te beschermen en stelde bedrijven in de Europese Economische Ruimte (EER) in staat om persoonsgegevens legaal door te geven aan bedrijven die gecertificeerd waren als Privacy Shield-compliant. Deelname aan de Privacy Shield-lijst was vrijwillig.
Het Schrems II-arrest sloot aan bij de aanhoudende versterking van het beschermingsniveau door het Hof van Justitie van de Europese Unie in de afgelopen jaren. Voor de uitspraak in 2020 had het CJEU al de Passenger Name Record (PNR)-overeenkomst tussen de EU en de VS nietig verklaard. Daarna werd in 2015 ook het Safe Harbor-besluit in het Schrems I-arrest ongeldig verklaard.
Het Privacy Shield werd ingevoerd ter vervanging van de Safe Harbor-principes. Hoewel het Privacy Shield veel van de gebreken van zijn voorganger aanpakte, bleven er vraagtekens bestaan over de mate van gegevensbescherming in het nieuwe framework. Het Privacy Shield werd herhaaldelijk bekritiseerd, ook in 2018 toen het Europees Parlement en de European Data Protection Board (EDPB) hierover een resolutie uitvaardigden. Desondanks herbevestigde de Europese Commissie het Privacy Shield framework, door te stellen dat het niveau van gegevensbescherming dat door de VS wordt geboden, adequaat was.
Door de ongeldigverklaring van het Privacy Shield vragen tal van organisaties zich af welke mechanismen ze kunnen gebruiken om persoonsgegevens door te geven aan bedrijven in de VS. Bedrijven die modelcontractbepalingen (SCC’s) hadden gesloten om persoonsgegevens door te geven, kunnen op dit mechanisme blijven vertrouwen voor de doorgifte. Ze moeten echter wel zorgen voor ‘aanvullende waarborgen’. Wat deze aanvullende waarborgen precies inhouden, werd niet gedefinieerd in de uitspraak van het Hof. Bovendien werd bepaald dat voorafgaand aan de doorgifte van persoonsgegevens er een transfer impact assessment moet worden uitgevoerd.
In juni 2021 werden de nieuwe, gemoderniseerde SCC’s gepubliceerd, met het voorbehoud dat alle eerder afgesloten SCC’s tegen december 2022 bijgewerkt moeten zijn. Sinds de ongeldigverklaring van het Privacy Shield worden bedrijven geconfronteerd met steeds meer verplichtingen en onzekerheden bij het doorgeven van persoonsgegevens. Een van deze onzekerheden is de vervanging van het Privacy Shield en wanneer het wordt ingevoerd.
Op 25 maart 2022 bereikten de Europese Commissie en de VS een principeakkoord over een nieuw Trans-Atlantic Data Privacy Framework.
Een positieve eerste stap is dat de hoogste Amerikaanse autoriteiten hebben toegezegd dat ze maatregelen treffen om de privacy en persoonsgegevens van personen in de Europese Economische Regio (EER) te beschermen wanneer hun persoonsgegevens naar de VS worden overgedragen.
Er wordt gezegd dat het nieuwe framework voor data privacy streeft naar tal van belangrijke principes, waaronder:
Ook lijkt het erop dat deze nieuwe overeenkomst verschillende voordelen zal bevatten, waaronder:
De EDPB is verheugd over de aankondiging van dit politieke akkoord over het nieuwe framework. De EDPB beschouwt het als een stap in de goede richting dat de hoogste autoriteiten in de VS toe hebben gezegd om maatregelen te treffen om de privacy en gegevens van personen in de EU te beschermen, wanneer hun persoonsgegevens naar de VS worden overgedragen. De EDPB zal onderzoeken hoe dit politieke akkoord zich vertaalt in concrete wetgevingsvoorstellen, om tegemoet te komen aan de zorgen die het Hof in de Schrems II-uitspraak heeft geuit.
In overeenstemming met de AVG zal de EDPB een advies uitbrengen over het nieuwe privacy framework, voordat het door de Europese Commissie wordt aangenomen. De EDPB zegt in een verklaring dat het de volgende aspecten van het nieuwe kader in detail zal analyseren:
Het is niet duidelijk wanneer de EDPB een advies zal uitbrengen over het nieuwe Trans-Atlantic Data Privacy Framework of wanneer de Europese Commissie en de VS overeenstemming bereiken over een nieuw framework. Helaas kan dit zorgen voor maanden van verdere onzekerheid voor bedrijven bij het bijwerken van SCC’s en het uitvoeren van transfer impact assessments.
Als er een ‘Privacy Shield 3’ wordt ingevoerd, moeten de betrokken instanties ervoor zorgen dat deze geen tekortkomingen meer bevat zoals zijn voorganger, anders krijgt de wereld van privacy- en gegevensbescherming te maken met een Schrems III-uitspraak.
Heeft jouw organisatie vragen over internationale gegevensoverdracht naar de VS? Neem voor vragen contact met ons op via info@dpoconsultancy.nl.
[1] Case C-311/18 – Data Protection Commissioner v Facebook Ireland and M. Schrems: https://bit.ly/3ux11oH