i

ARTIKEL

What you need to know about the new Trans – Atlantic Data Privacy Framework
Tarryn Howard - Data Privacy Consultant

16 juli 2020 is een zeer belangrijke datum op het gebied van data privacy en data protectie. Op deze datum verklaarde het Hof van Justitie van de Europese Unie (CJEU) het Privacy Shield framework ongeldig. Deze uitspraak werd bekend als de Schrems II-uitspraak.

Het Privacy Shield framework bood organisaties de mogelijkheid om persoonsgegevens rechtmatig uit te wisselen van de Europese Unie (EU) naar de Verenigde Staten van Amerika (VS). Het framework bestond uit een reeks beschermingsvereisten en waarborgen om de persoonsgegevens te beschermen en stelde bedrijven in de Europese Economische Ruimte (EER) in staat om persoonsgegevens legaal door te geven aan bedrijven die gecertificeerd waren als Privacy Shield-compliant. Deelname aan de Privacy Shield-lijst was vrijwillig.

Het Schrems II-arrest sloot aan bij de aanhoudende versterking van het beschermingsniveau door het Hof van Justitie van de Europese Unie in de afgelopen jaren. Voor de uitspraak in 2020 had het CJEU al de Passenger Name Record (PNR)-overeenkomst tussen de EU en de VS nietig verklaard. Daarna werd in 2015 ook het Safe Harbor-besluit in het Schrems I-arrest ongeldig verklaard.

Het Privacy Shield werd ingevoerd ter vervanging van de Safe Harbor-principes. Hoewel het Privacy Shield veel van de gebreken van zijn voorganger aanpakte, bleven er vraagtekens bestaan over de mate van gegevensbescherming in het nieuwe framework. Het Privacy Shield werd herhaaldelijk bekritiseerd, ook in 2018 toen het Europees Parlement en de European Data Protection Board (EDPB) hierover een resolutie uitvaardigden. Desondanks herbevestigde de Europese Commissie het Privacy Shield framework, door te stellen dat het niveau van gegevensbescherming dat door de VS wordt geboden, adequaat was.

 

Gevolgen van uitspraak Schrems II

Door de ongeldigverklaring van het Privacy Shield vragen tal van organisaties zich af welke mechanismen ze kunnen gebruiken om persoonsgegevens door te geven aan bedrijven in de VS. Bedrijven die modelcontractbepalingen (SCC’s) hadden gesloten om persoonsgegevens door te geven, kunnen op dit mechanisme blijven vertrouwen voor de doorgifte. Ze moeten echter wel zorgen voor ‘aanvullende waarborgen’. Wat deze aanvullende waarborgen precies inhouden, werd niet gedefinieerd in de uitspraak van het Hof. Bovendien werd bepaald dat voorafgaand aan de doorgifte van persoonsgegevens er een transfer impact assessment moet worden uitgevoerd.

In juni 2021 werden de nieuwe, gemoderniseerde SCC’s gepubliceerd, met het voorbehoud dat alle eerder afgesloten SCC’s tegen december 2022 bijgewerkt moeten zijn. Sinds de ongeldigverklaring van het Privacy Shield worden bedrijven geconfronteerd met steeds meer verplichtingen en onzekerheden bij het doorgeven van persoonsgegevens. Een van deze onzekerheden is de vervanging van het Privacy Shield en wanneer het wordt ingevoerd.

 

Een nieuwe ontwikkeling?

Op 25 maart 2022 bereikten de Europese Commissie en de VS een principeakkoord over een nieuw Trans-Atlantic Data Privacy Framework.

Een positieve eerste stap is dat de hoogste Amerikaanse autoriteiten hebben toegezegd dat ze maatregelen treffen om de privacy en persoonsgegevens van personen in de Europese Economische Regio (EER) te beschermen wanneer hun persoonsgegevens naar de VS worden overgedragen.

"Sinds de ongeldigverklaring van het Privacy Shield worden bedrijven geconfronteerd met steeds meer verplichtingen bij het doorgeven van persoonsgegevens en onzekerheden."

Er wordt gezegd dat het nieuwe framework voor data privacy streeft naar tal van belangrijke principes, waaronder:

  • gegevens zullen vrij en veilig uitgewisseld kunnen worden tussen de EU en deelnemende Amerikaanse bedrijven;
  • een nieuwe set regels en bindende voorwaarden om de toegang tot gegevens door de Amerikaanse inlichtingendiensten te beperken tot de gegevens die écht nodig en evenredig zijn om de nationale veiligheid te beschermen. Amerikaanse inlichtingendiensten zullen procedures aannemen om te zorgen voor effectief toezicht op nieuwe normen voor privacy en vrijheden van Europese burgers;
  • een nieuw systeem om klachten van Europeanen over toegang tot gegevens door Amerikaanse inlichtingendiensten te onderzoeken en op te lossen, met inbegrip van een Data Protection Review Court;
  • strenge verplichtingen voor bedrijven die gegevens verwerken die vanuit de EU zijn overgedragen, waaronder de eis om hun naleving zelf te certificeren via het Amerikaanse ministerie van Handel;
  • specifieke monitoring- en evaluatiemechanismen.

Ook lijkt het erop dat deze nieuwe overeenkomst verschillende voordelen zal bevatten, waaronder:

  • adequate bescherming van de gegevens van Europeanen die naar de VS worden overgedragen, rekeninghoudend met de Schrems II-uitspraak;
  • beveiligde gegevensstromen;
  • duurzame en betrouwbare rechtsgrondslagen;
  • concurrerende digitale economie en economische samenwerking;
  • aanhoudende gegevensstromen die jaarlijks 900 miljard euro aan grensoverschrijdende handel ondersteunen.

De reactie van de EDPB

De EDPB is verheugd over de aankondiging van dit politieke akkoord over het nieuwe framework. De EDPB beschouwt het als een stap in de goede richting dat de hoogste autoriteiten in de VS toe hebben gezegd om maatregelen te treffen om de privacy en gegevens van personen in de EU te beschermen, wanneer hun persoonsgegevens naar de VS worden overgedragen. De EDPB zal onderzoeken hoe dit politieke akkoord zich vertaalt in concrete wetgevingsvoorstellen, om tegemoet te komen aan de zorgen die het Hof in de Schrems II-uitspraak heeft geuit.

In overeenstemming met de AVG zal de EDPB een advies uitbrengen over het nieuwe privacy framework, voordat het door de Europese Commissie wordt aangenomen. De EDPB zegt in een verklaring dat het de volgende aspecten van het nieuwe kader in detail zal analyseren:

  • hoe deze hervormingen ervoor zorgen dat het verzamelen van persoonsgegevens voor nationale veiligheidsdoeleinden wordt beperkt tot wat strikt noodzakelijk en evenredig is;
  • de mate waarin het aangekondigde onafhankelijke mechanisme het recht van personen uit de EER op een doeltreffende voorziening in rechte en een eerlijk proces respecteert. Er zal ook worden overwogen of een nieuw autoriteitsonderdeel van dit mechanisme ook toegang heeft tot relevante informatie;
  • of er een rechtsmiddel bestaat tegen de beslissingen van deze autoriteit of het nalaten ervan.

 

Wat betekent dit voor jouw organisatie?

Het is niet duidelijk wanneer de EDPB een advies zal uitbrengen over het nieuwe Trans-Atlantic Data Privacy Framework of wanneer de Europese Commissie en de VS overeenstemming bereiken over een nieuw framework. Helaas kan dit zorgen voor maanden van verdere onzekerheid voor bedrijven bij het bijwerken van SCC’s en het uitvoeren van transfer impact assessments.

Als er een ‘Privacy Shield 3’ wordt ingevoerd, moeten de betrokken instanties ervoor zorgen dat deze geen tekortkomingen meer bevat zoals zijn voorganger, anders krijgt de wereld van privacy- en gegevensbescherming te maken met een Schrems III-uitspraak.

Heeft jouw organisatie vragen over internationale gegevensoverdracht naar de VS? Neem voor vragen contact met ons op via info@dpoconsultancy.nl.

[1] Case C-311/18 – Data Protection Commissioner v Facebook Ireland and M. Schrems: https://bit.ly/3ux11oH

Road Map Transfer Impact Assessment
Tool
How to apply Privacy By Design: a starter’s guide
Webinar
The GDPR, what does it mean for non-EU companies?
White paper