EU-VS: historisch akkoord over gegevensbescherming en -uitwisseling
De EU en de VS vertrouwden jarenlang op het Safe Harbor akkoord om persoonsgegevens uit te wisselen tussen beide continenten. In 2015 oordeelde het Europees Hof van Justitie dat dit akkoord te weinig garanties bood om de privacy van Europeanen te beschermen. Daarop ontwikkelden Brussel en Washington in 2016 een nieuwe juridische basis om gegevensuitwisseling te kunnen laten plaatsvinden. Het resultaat van deze onderhandelingen was het Privacy Shield.
In de zomer van 2020 zette het Europees Hof ook door dit verdrag een streep. De rechtbank meende dat de VS niet hetzelfde beschermingsniveau voor burgers bood als hier in Europa. De maatregelen die de VS nam om persoonsgegevens te beschermen, kwamen onvoldoende overeen met het evenredigheidsbeginsel dat de AVG nastreeft (het beginsel dat technische en organisatorische gegevensbeschermingsmaatregelen passend moeten zijn en in verhouding moeten staan tot het risico van toegang tot en openbaarmaking, gebruik of onthulling van de gegevens). Daarnaast was het volgens het Hof voor Europeanen onmogelijk om invloed uit te oefenen op de wijze waarop persoonsgegevens worden verwerkt door de Amerikaanse instellingen.
Na bijna drie jaar onderhandelen is er vandaag een nieuw data-uitwisselingsverdrag aangekondigd: het EU-US Data Privacy Framework. Op basis van dit verdrag kunnen Europese bedrijven en organisaties persoonsgegevens van Europese burgers veilig doorgeven aan Amerikaanse bedrijven*. Er hoeven geen aanvullende waarborgen geformuleerd te worden om hetzelfde beschermingsniveau voor persoonsgegevens als hier in Europa te bieden.
Eén van de afspraken is dat er paal en perk wordt gesteld aan wat de Amerikaanse inlichtingendiensten aan gegevens van Europese burgers mogen verzamelen. Ze mogen alleen data inzien als dat ‘noodzakelijk en proportioneel’ is. Daarnaast komt er meer toezicht op de inlichtingendiensten. Daarvoor wordt een Data Protection Review Court (DPRC) opgericht. Dit is een onafhankelijk en onpartijdig orgaan dat erop toeziet dat de inlichtingendiensten zich houden aan de beperkingen, principes en regels van dit verdrag.
Tot slot is er afgesproken dat Europeanen bezwaar kunnen aantekenen als Amerikaanse inlichtingendiensten hun gegevens hebben verzameld. Daarvoor kunnen ze aankloppen bij de European Data Protection Board (EDPB), de koepelorganisatie waarin de privacytoezichthouders van alle EU-lidstaten zijn vertegenwoordigd.
Wenst u samen te werken met een Amerikaans bedrijf? Persoonsgegevens kunnen naar de Verenigde Staten worden overgedragen als het Amerikaanse bedrijf op de website van het Amerikaanse ministerie van Handel staat, zonder dat er speciale clausules of extra veiligheidsmaatregelen nodig zijn. Als het bedrijf waarmee u wilt samenwerken niet op de lijst voorkomt, moet u gebruikmaken van de mechanismen voor gegevensoverdracht die zijn vastgelegd door de Europese Raad voor Gegevensbescherming.
Het EU-US Data Privacy Framework treedt deze week nog in werking (week 28/2023). Over een jaar vindt er een evaluatie plaats en bekijken vertegenwoordigers van Europese en Amerikaanse toezichthouders hoe het verdrag in de praktijk functioneert.
DPO Paradigm,
Brussels, 12/07/2023
*De lijst van Amerikaanse bedrijven die voldoen aan het « Data Privacy Framework » raadplegen: Externe linkParticipant Search (dataprivacyframework.gov)