Leestijd: 3 minuten
EU-US Data Privacy Framework
De wereld van IT-recht en privacy is voortdurend in beweging. Op 10 juli 2023 heeft de Europese Commissie een belangrijke stap gezet met de goedkeuring van het “EU-US Data Privacy Framework” of “DPF”. Dit juridische raamwerk heeft de bedoeling om een grondslag te bieden voor de export van persoonsgegevens naar Amerikaanse partijen. In dit blog gaan we dieper in op het DPF en bekijken we hoe het zich verhoudt tot zijn voorgangers: de “Safe Harbor Principles” en “EU-US Privacy Shield“.
Een terugblik op Safe Harbor en Privacy Shield
In het verleden behaalde resultaten geven geen garantie voor de toekomst. De Safe Harbor Principles waren ooit de basis voor gegevensoverdracht tussen de EU en de VS. Na jarenlang procederen tegen Facebook werden ze echter verworpen door het Europese Hof van Justitie in 2015. Dit omdat ze niet voldeden aan de strenge eisen van de toenmalige Europese privacyregels. Hetzelfde lot trof, wederom na jaren procederen, het EU-US Privacy Shield, dat in 2020 ongeldig werd verklaard. Dit opnieuw vanwege tekortkomingen op het gebied van gegevensbescherming en meer specifiek de Algemene Verordening Gegevensbescherming (AVG).
Het rechtsvacuüm van 2020-2023
Sinds die laatste ongeldigverklaring in 2020 bleef de praktijk een beetje worstelen met een inconvenient truth. De regels verboden in principe immers doorgifte aan de VS. Toch werd dit in de praktijk nog steeds op grote schaal gedaan (bijvoorbeeld met Google Analytics of Mailchimp). In de praktijk werd er ook niet adequaat op gehandhaafd door de autoriteiten. De meest voor de hand liggende oplossing was wachten totdat de Europese Commissie met de VS weer een nieuw protocol zou hebben bedacht die de data-export weer in lijn met de AVG zou maken. Deze oplossing kwam dus in juli 2023 tot stand.
De belofte en de kritiek
Het nieuwe EU-US Data Privacy Framework zou een betere bescherming van persoonsgegevens en een solide basis voor gegevensoverdracht tussen de EU en de VS moeten inhouden. Dit lijkt zeker een stap in de goede richting, maar we moeten ook kritisch blijven kijken naar de inhoud. Zie ook de eerdere voorlopige gedachten over het framework.
Er zijn enkele belangrijke punten van frictie en incompatibiliteit tussen het EU-US Data Privacy Framework en de AVG. Hieronder enkele aandachtspunten:
- Toegang door overheidsinstanties: Een van de grootste zorgen is de toegang van overheidsinstanties tot persoonsgegevens. Het framework bevat weliswaar beperkingen, maar er zijn zorgen dat deze niet ver genoeg gaan om de privacy van Europese burgers te beschermen tegen grootschalige surveillance. Het valt uiteraard ook niet te verwachten dan de VS hun bulksurveillancemethoden zullen willen aanpassen. Zij hebben tot op heden hun Foreign Intelligence Surveillance Act, Section 702 (“FISA 702”) en Executive Order 12.333 (“EO 12.333”) niet aangepast in lijn met de vereisten van diverse grondrechtelijke regelingen die gelden voor Europeanen.
- Rechtsbescherming: Het framework belooft een betere rechtsbescherming voor Europese burgers in de VS, maar er zijn nog steeds vragen over de effectiviteit van juridische remedies voor individuen die hun rechten geschonden zien.
- Onafhankelijk toezicht: De rol van de onafhankelijke toezichthoudende autoriteit is een heikel punt. De onafhankelijkheid en de bevoegdheden van deze autoriteit moeten grondig worden beoordeeld om ervoor te zorgen dat deze voldoende waarborgen bieden voor gegevensbescherming.
In aanloop naar het inwerkingtreden van het DPF hadden de European Data Protection Board (“EDPB”) en het Europees Parlement reeds hun kritieken geuit. Het EDPB heeft daarna nog aangegeven dat zij een jaar daarna het framework zal evalueren.
Wat betekent dit voor het bedrijfsleven in Europa?
Als Europees bedrijf of organisatie is het essentieel dat u op de hoogte bent van deze ontwikkelingen. Het EU-US Data Privacy Framework zorgt nu wellicht voor compliance “op papier”. Of dat een houdbare situatie is moet nog worden bezien. Bedrijven dienen nog steeds ervoor te zorgen dat ze voldoen aan de AVG-vereisten bij het overdragen van gegevens naar de VS via clouddiensten of op andere wijzen. Het risico is sterk aanwezig dat het DPF bij ongewijzigde Amerikaanse surveillanceregelgeving en -praktijken geen lang leven beschoren is.
Uiteraard staat NORD Advocaten klaar om u te helpen bij het navigeren door dit complexe landschap van IT-recht en privacy. Neem gerust contact met ons op voor advies en ondersteuning.