In oktober 2022 heeft president Biden van de Verenigde Staten een 'Executive Order' (EO) ondertekend voor de invoering van een nieuw dataprivacy framework tussen de Europese Unie en de Verenigde Staten: het trans-Atlantische Data Privacy Framework (EU-U.S. DPF). Wat houdt dit nieuwe framework in en wat kan het betekenen voor organisaties?
Het EU-VS DPF werd in maart 2022 aangekondigd door president Biden en de voorzitter van de Europese Commissie Von der Leyen. Het doel ervan is het juridisch framework voor de doorgifte van persoonsdata van de EU naar de VS, de zogeheten trans-Atlantische datastromen, te herstellen.
Het framework werd gecreëerd nadat het Hof van Justitie van de Europese Unie zijn bezorgdheid had geuit over het bestaande juridische framework inzake trans-Atlantische datastromen – het EU-VS-Privacy Shield – met als gevolg meer dan een jaar onderhandelen tussen de EU en de VS. Met de ondertekening van de Executive Order kunnen de toezeggingen van de VS binnen het nieuwe framework nu werkelijkheid worden.
Aspecten
De vijf belangrijkste aspecten van het framework:
– Data zullen vrij en veilig tussen de EU en deelnemende bedrijven in de VS kunnen stromen;
– Nieuwe regels en bindende waarborgen om de toegang tot data door de Amerikaanse inlichtingendiensten te beperken tot wat alleen noodzakelijk en proportioneel is om de nationale veiligheid te beschermen;
– Een nieuw systeem van beroep om klachten van Europeanen over de toegang tot data door de Amerikaanse inlichtingendiensten te onderzoeken en op te lossen, inclusief een rechterlijke instantie voor dataprotectie;
– Strenge verplichtingen voor bedrijven die vanuit de EU doorgegeven data verwerken. Hiertoe behoort de eis dat zij zelf via het Amerikaanse ministerie van Handel moeten verklaren dat zij zich aan het framework houden;
– Specifieke toezichts- en evaluatiemechanismen.
Organisaties moeten zich vooral bewust zijn van het feit dat zij geacht worden de beginselen van het Privacy Framework na te leven. Dat betekent dat zij moeten weten welke persoonsdata zij uit de EU verwerken en wie zij bij alle aspecten van die verwerking betrekken.
Hoe nu verder?
Op basis van de in de Executive Order aangegeven stappen kan de Europese Commissie opnieuw vaststellen of de VS hetzelfde niveau van dataprotectie bieden als de EU. Als dat zo is, zal dat dataoverdracht naar de VS krachtens de EU-wetgeving ondersteunen op een manier die toegankelijk en betaalbaar is.
Het zal ook duidelijkheid en rechtszekerheid bieden aan organisaties die betrokken zijn bij de doorgifte van data, zoals bedrijven die gebruik maken van standaard contractbepalingen, en bindende regels opleggen voor de doorgifte van persoonsdata uit de EU naar de Verenigde Staten.
Aanpak twee belangrijkste problemen
Het is belangrijk om voor ogen te houden dat dit allemaal slechts intenties zijn en dat de details nog moeten worden uitgewerkt. Niettemin lijkt de VS nu de twee belangrijkste problemen aan te pakken die in de zaak Schrems II het Privacy Shield onderuit haalden. Ten eerste de toegang die Amerikaanse veiligheidsinstanties hebben tot persoonsdata die vanuit de EU zijn doorgegeven. Ten tweede het ontbreken van enige vorm van schadeloosstelling voor personen van wie data onterecht zijn ingezien. In de gezamenlijke verklaring staat dat de VS ‘nieuwe waarborgen’ invoert om ervoor te zorgen dat inlichtingenactiviteiten ‘noodzakelijk en proportioneel’ zijn. Ongetwijfeld zullen de definities en de praktische toepassing door privacyvoorvechters nauwkeurig worden bekeken zodra de gedetailleerde tekst bekend is.
Voor de doorgifte van persoonsdata van de EU naar de VS moet de exporteur momenteel een aanpak volgen die voorziet in passende waarborgen volgens een norm die in essentie gelijkwaardig is met de EU-norm. Dat zou bijvoorbeeld kunnen door het gebruik van de standaardcontractbepalingen van de EU, plus aanvullende maatregelen, waarvoor het Europees Comité voor dataprotectie een reeks aanbevelingen heeft goedgekeurd. Deze aanpak heeft echter in een aantal recente onderzoeken van EU-toezichthouders geen stand gehouden.
Inmiddels is de Europese Commissie begonnen met de formele procedure om te bepalen of het trans-Atlantische Data Protection Framework adequaat is. Vervolgens zal het Europees Comité voor dataprotectie zich erover buigen en advies uitbrengen. Daarna gaat het naar een comité van vertegenwoordigers van de EU-lidstaten en pas als zij ermee instemmen zal de Europese Commissie definitief besluiten of het framework adeqaat is – of niet.
Fundamentele kloof tussen EU en VS
De kern van het probleem is de fundamentele kloof tussen de EU en de VS op het gebied van privacy. Er is geen federale privacywetgeving in de VS, maar er zijn wel allerlei wetten op het niveau van de afzonderlijke staten die nog steeds op inbreuken zijn gericht of geen specifieke basis voor handhaving bieden. Dat zorgt voor problemen die het zeer waarschijnlijk maken dat dit nieuwe framework met succes zal worden aangevochten.
Allereerst zal ongetwijfeld ook het Hof van Justitie van de Europese Unie (HvJEU) worden gevraagd een uitspraak te doen over het nieuwe trans-Atlantische Data Privacy Framework. Verder zal, gezien de opstelling van de VS als het gaat om de legitimiteit van internationale strafhoven, het voorgestelde Hof voor Dataprotectie waarschijnlijk door VS-instanties worden aangevochten. Dat hof- als het er van komt – vormt de basis voor handhaving, maar zonder een framework dat vergelijkbaar is met de AVG (GDPR) is proactieve naleving onmogelijk.
Een VS-norm voor dataprivacy die in essentie gelijkwaardig is aan de EU-norm zal altijd een uitdaging blijven om te bereiken én te handhaven, althans totdat de VS zelf doeltreffende dataprivacywetgeving aanneemt. Vooralsnog is er dus geen reden voor Nederlandse organisaties om hun beleid ten aanzien van dataprotectie te aan te passen.
Willemijn Rodenburg-Luitse, Relation Manager Government bij Fox-IT
