De Amerikaanse president Joe Biden heeft een decreet uitgevaardigd dat de weerstand tegen de opslag van privacygevoelige gegevens in de Verenigde Staten moet wegnemen.
Dit presidentiële besluit geeft uitvoering aan het principeakkoord dat de EU en de VS afgelopen maart bereikten op gebied van data-privacy. Het decreet introduceert nieuwe bindende waarborgen die bedrijven bij de overdracht van persoonsgegevens naar de VS meer juridische bescherming bieden.
De Europese Commissie verwacht dat hiermee de kou uit de lucht is voor het Hof van Justitie van de EU. Het hof verklaarde in juli 2020 de Privacy Shield-overeenkomst tussen de EU en de VS ongeldig. Teams van de EU en de VS werkten de afgelopen zes maanden aan de uitwerking van het principeakkoord en de vertaling hiervan naar een wettelijk kader.
Schrems II
Om de bezwaren van het Hof in het Schrems II-arrest weg te nemen, mogen Amerikaanse inlichtingendiensten niet meer ongebreideld in de data van EU-burgers rondneuzen. Ze hebben alleen toegang tot gegevens die echt nodig zijn voor de nationale veiligheid. Daarbij geldt een zekere proportionaliteit.
Bovendien heeft Biden een nieuw verhaal-mechanisme opgetuigd. EU-burgers kunnen een klacht indienen bij een functionaris, die erop toeziet dat Amerikaanse inlichtingendiensten de privacywetten naleven en fundamentele rechten eerbiedigen.
Ook kunnen burgers tegen de beslissing van deze functionaris in beroep gaan. Dat doen ze bij een nieuw onafhankelijk hof dat geheel los van de regering staat. Dit zogeheten Data Protection Review Court (DPRC) kan zelf onderzoek doen en bindende besluiten nemen. Het lijkt een groot verschil met de Ombudsman destijds onder het Privacy Shield. Die persoon viel onder het Amerikaanse ministerie van Binnenlands Zaken en had niet de eerdergenoemde bevoegdheden. De Europese Commissie spreekt van aanzienlijke verbeteringen.
Adequaatheidsbesluit
Nu Biden het principeakkoord heeft geïmplementeerd in de Amerikaanse wetgeving, kan de Europese Commissie verdere stappen zetten voor finale bekrachtiging van de overeenkomst met de VS. Zodra dit zogenoemde adequaatheidsbesluit is genomen, kunnen gegevens weer vrij en veilig stromen tussen bedrijven uit de EU en Amerika. Het zal nog zeker zes maanden duren, voordat alle procedures binnen de EU zijn afgerond. Bovendien is niet uitgesloten dat het Hof van Justitie van de EU gaat dwarsliggen ondanks de Amerikaanse concessies.
De Europese Commissie wijst erop dat bedrijven in de tussentijd gewoon kunnen doorgaan met het opnemen van modelclausules in hun commerciële contracten. Dit is het meest gebruikte mechanisme om gegevens uit de EU over te dragen. Vorig jaar heeft de Commissie gemoderniseerde standaard-contactbepalingen aangenomen, die makkelijker werken. De Commissie tekent hierbij aan dat een adequaatheidsbesluit niet het enige instrument is voor internationale overdrachten van gegevens.
Verdeelde reacties
De eerste reacties op het decreet van president Biden zijn verdeeld. Privacy-voorvechter Max Schrems denkt dat de verschillen in het denken over privacy tussen de EU en de VS onoverbrugbaar zijn. Alleen als de Amerikanen hun systemen voor massale surveillance van burgers drastisch beperken, kunnen ze volgens hem voldoen aan de EU-opvatting van proportioneel toezicht.
De Europese consumentenorganisatie BEUC laat zich in vergelijkbare bewoordingen uit. Vertegenwoordigers van het bedrijfsleven reageerden vrij positief. IBM hoopt dat nu eindelijk een eind komt aan een lange periode van onzekerheid voor het bedrijfsleven.
