De aanstaande overeenkomst voor dataoverdracht tussen de EU en de Verenigde Staten heeft onvoldoende juridische basis. Dat verwacht de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (Libe) van het Europees Parlement. Het zogeheten EU-U.S. Data Privacy Framework (DPF) zou de opvolger moeten zijn van de Safe Harbor- en Privacy Shield-afspraken, die beide sneuvelden in de rechtszaal.
De Commissie-Libe stemde donderdag in met een resolutie die het DPF weliswaar als verbetering van de twee eerdere afspraken bestempelt, maar onvoldoende acht om de gegevensbescherming van Europese burgers te waarborgen in de VS. In de tekst staat ook dat het risico bestaat dat het Europese Hof van Justitie het DPF in de toekomst ongeldig verklaart. Bij de stemming waren er 37 voorstemmers, geen tegenstemmers en 21 onthoudingen, meldt Techcrunch.
Controlemechanismen
In februari riep Libe de Europese Commissie al op om de tekst van het DPF aan te scherpen. Er zouden te weinig waarborgen in staan die inwoners van de EU beschermen tegen grootschalige vergaring van persoonsgegevens. Evenmin zouden er afspraken in staan over onafhankelijke controlemechanismen voorafgaand aan datavergaring en hoelang gegevens mogen worden bewaard.
De uiteindelijke beslissing over de invoering van het EU-U.S. Data Privacy Framework ligt bij de Europese Commissie en de Europese Raad. Het Europees Parlement, noch de Commissie-Libe, noch de toezichthoudende Europese Raad voor Databescherming (EDPB) kan meebeslissen. De EDPB, de koepelorganisatie van Europese privacytoezichthouders, liet zich eerder positief maar kritisch uit over het voorgenomen framework.
Privacy Shield
Het DPF moet de opvolger worden van de Privacy Shield en Safe Harbor-afspraken voor data-uitwisseling tussen de EU en de VS. Het Europese Hof van Justitie verklaarde Privacy Shield in 2020 ongeldig. De rechter vond destijds dat het Privacy Shield Europese burgers te weinig garanties gaf voor de bescherming van hun persoonsgegevens.
Zo konden Amerikaanse inlichtingendiensten volgens de Amerikaanse wet nog altijd toegang eisen tot data op servers in de VS en mochten zij data onderscheppen die via onderzeekabels van de EU naar Amerika stromen. Het Privacy Shield was al een verbeterde versie van de Safe Harbor-afspraken, die in 2015 sneuvelden.
Sinds het wegvallen van de Privacy Shield-afspraken is het voor organisaties alleen mogelijk om persoonsgegevens vanuit de EU naar de VS te exporteren als zij via een zogeheten doorgiftecontract en aanvullende maatregelen garanderen dat die persoonsgegevens veilig zijn.
