Trans-Atlantic Data Privacy Framework aangekondigd
Op 25 maart 2022 kondigden de Europese Commissie en het Amerikaanse Witte huis met een gezamenlijke verklaring het Trans-Atlantic Data Privacy Framework aan. Dit zal het nieuwe mechanisme moeten worden om op een veilige manier Europese persoonsgegevens met Amerikaanse cloud service providers te delen. Oftewel, de opvolger van het inmiddels ongeldige EU-US Privacy Shield.
In Europa en Nederland gebruikt men op grote schaal Amerikaanse clouddiensten. En de meeste daarvan zullen persoonsgegevens verwerken. Zodra deze persoonsgegevens buiten de EER worden verwerkt, zoals in de Verenigde Staten, is dat niet zomaar toegestaan. Daar moeten volgens de Algemene Verordening Gegevensbescherming (AVG) bepaalde waarborgen voor gelden. Men moet namelijk een adequaat beveiligingsniveau kunnen garanderen. In het geval van de Verenigde Staten en de Europese Unie werden steeds afspraken gemaakt die als basis zouden moeten gelden voor een juiste overdracht van persoonsgegevens.
Het problematische verleden
Om gegevens te mogen exporteren naar de Verenigde Staten is dus een juridisch ‘mechanisme’ nodig. Hier wisten de Amerikanen met hun krachtige lobby altijd goed te scoren. De Europese Commissie stond bepaalde mechanismen toe die zij ‘adequaat’ achtte. Hiermee werden in feite ook meteen lichtere regels voor Amerikaanse partijen overeengekomen. De wrange uitkomst was dan ook steevast dat Amerikaanse spelers lichtere regels hebben ten aanzien van Europese spelers op het gebied van Europese persoonsgegevens. Ook kwam door onder meer Edward Snowden aan het licht dat de Amerkaanse surveillance en spionage wel erg veel persoonsgegevens gebruikte.
Het gevolg was dat eerst het opgetuigde Safe Harbor Principles naar de prullenbak kon in 2015 en ook diens opvolger het EU-US Privacy Shield in 2020. Er is op het moment van schrijven van dit blog dus géén geldig mechanisme voor dataoverdracht naar de VS. Een juridisch lastige positie voor bijvoorbeeld gebruikers van Google Analytics of Mailchimp.
Is het Trans-Atlantic Data Privacy Framework de oplossing?
Het politieke enthousiasme van zowel de Europese commissie als het Witte Huis zijn natuurlijk niet de graadmeter voor juridisch succes. En de in het verleden behaalde resultaten zijn geen garantie in de toekomst. Sterker nog, het zou tot pessimisme kunnen stemmen. Opvallend is echter wel dat recentelijk ook het European Data Protection Board (EDPB) het een ‘eerste goede stap’ noemt. Een echte mening bewaart het EDPB voor wanneer het concept van het Framework wordt voorgelegd.
Zoals de Autoriteit Persoonsgegevens terecht concludeert beschermen Amerikaanse wetten de persoonsgegevens van Europeanen onvoldoende. Dus totdat het zover is, en dat kan maanden duren, blijft de dataoverdracht aan Amerikaanse cloudproviders op losse schroeven staan. Gezien het feit dat de VS hun surveillancewetgeving ongetwijfeld niet graag zullen willen aanpassen, is het ook nog maar de vraag of het nieuwe Framework een echte oplossing zal bieden. Max Schrems zit alweer na te denken over nieuwe rechtszaken…
Betere oplossing
Allicht is het beter dat organisaties in Europa zich minder afhankelijk maken van de Amerikaanse cloud. En dus géén persoonsgegevens aan Amerikaanse partijen toevertrouwen. Het blijft gedonder met de regels en er zijn voor heel veel diensten prima Europese alternatieven. Veranderen is moeilijk, dat wel. Uiteraard helpt NORD Advocaten u graag alternatieven te onderzoeken en u bij te staan bij cloudmigraties op het juridische vlak.