Publicatie
18-01-2023

Nieuw EU-US Data Privacy Framework in aantocht

In de Europese Unie (“EU”) worden persoonsgegevens beschermd door de Algemene Verordening Gegevensbescherming (“AVG”, in het Engels beter bekend als de “GDPR”). Door de AVG is het mogelijk om binnen de EU zonder grote belemmeringen persoonsgegevens uit te wisselen, omdat er in de gehele EU een gelijkwaardig beschermingsniveau voor de bescherming van persoonsgegevens is. De gegevensuitwisseling met ontvangers in landen buiten de EU is niet zo gemakkelijk, zoals bijvoorbeeld de Verenigde Staten (“VS”).

Tot de zomer van 2020 kon er ook op vrij gemakkelijke wijze tussen de EU en VS persoonsgegevens worden uitgewisseld. Hiervoor was wel vereist dat de ontvangende partij in de VS was aangesloten bij het EU-US Privacy Shield. Dit betrof een contract tussen de EU en VS, waarin afspraken waren gemaakt over hoe de Europese persoonsgegevens in de VS beschermd moesten worden. Vanwege de uitspraak van het Hof van Justitie van 16 juli 2020 in Schrems II werd het EU-US Privacy Shield met directe ingang nietig verklaard. Het Hof van Justitie kwam namelijk tot het oordeel dat zelfs met het EU-VS Privacy Shield niet een acceptabel beschermingsniveau kon worden gegarandeerd door Amerikaanse ontvangers, onder meer vanwege de vergaande bevoegdheden van de Amerikaanse inlichtingen- en veiligheidsdiensten. De gevolgen van deze uitspraak zijn uitgebreid toegelicht in mijn blog van 13 augustus 2020.

Door deze uitspraak van het Hof van Justitie werd het een stuk ingewikkelder om persoonsgegevens uit te wisselen met een ontvanger in de VS. Niet alleen moesten passende waarborgen worden getroffen om de gegevensuitwisseling mogelijk te maken, zoals het toepassen van Standard Contractual Clauses of Binding Corporate Rules op de gegevensuitwisseling, daarnaast moesten er op grond van de door de European Data Protection Board uitgevaardigde Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data ook nog aanvullende maatregelen worden getroffen zoals encryptie of pseudonimisering. Deze aanvullende maatregelen heb ik nader toegelicht in mijn blog van 6 september 2021.

Dit heeft de gegevensuitwisseling met de VS sindsdien ernstig bemoeilijkt. Ondertussen waren de EU en de VS sinds de zomer van 2020 in onderhandeling over een nieuw EU-US Privacy Shield, maar lang zonder resultaat. Echter, er lijkt nu licht aan het einde van de tunnel te zijn. Op 25 maart 2022 kwamen de Europese Commissie en de Amerikaanse overheid met een gezamenlijke mededeling dat er overeenstemming op hoofdlijnen was bereikt over een nieuw “EU-US Data Privacy Framework”. Het Framework zou nog verder uitgewerkt gaan worden in juridisch bindende documenten. Dit is onder meer gebeurd op 7 oktober 2022 toen president Biden een US Executive Order ondertekende welke Executive Order samen met wetgeving uitgevaardigd door de US Attorney General Merrick Garland nieuwe privacyrechten in de Amerikaanse wetgeving implementeerde.

Hiermee waren de moeilijkheden verbonden aan de gegevensuitwisseling met de VS nog niet opgelost. De Europese Commissie dient het Framework samen met de aangepaste Amerikaanse wetgeving te beoordelen om te bepalen of deze wetgeving nu wél een gelijkwaardig beschermingsniveau biedt vergelijkbaar met de privacywetgeving van de EU. Ook op dat gebied zit er schot in de zaak. Op 13 december 2022 heeft de Europese Commissie een mededeling uitgevaardigd dat het Framework nu officieel in de procedure zit om een adequaatheidsbesluit te verkrijgen. In deze procedure wordt het Framework beoordeeld door de European Data Protection Board (“EDPB”) (het hoogste orgaan van de EU op het gebied van privacyrecht) die hierover advies uitbrengt. Na het advies van de EDPB wordt het Framework nog voorgelegd aan een commissie die is samengesteld uit vertegenwoordigers van de verschillende EU-lidstaten. Ook heeft het Europees Parlement nog het recht om een controle uit te voeren t.a.v. het voorgenomen adequaatheidsbesluit, waarna de Europese Commissie het adequaatheidsbesluit formeel moet aannemen. Er wordt door de Europese Commissie niet aangegeven hoe lang de beoordelingsprocedure voor het adequaatheidsbesluit naar verwachting zal zijn.

Als er een adequaatheidsbesluit wordt afgegeven voor het nieuwe EU-US Data Privacy Framework, zal dit de gegevensuitwisseling tussen de EU en de VS in grote mate vergemakkelijken. Er zijn in dat geval namelijk geen (andere) passende waarborgen en ook geen aanvullende waarborgen meer nodig om een gegevensuitwisseling met een ontvanger in de VS te laten plaatsvinden.

Mochten er vragen zijn naar aanleiding van gegevensuitwisseling met een ontvanger in de VS, neem dan gerust contact met ons op.