Trans-Atlantic Data Privacy Framework: gegevensuitwisseling tussen de EU en VS weer toegestaan, maar voor hoelang?
Het Trans-Atlantic Data Privacy Framework maakt data-uitwisseling tussen EU-VS weer mogelijk, maar dat lijkt een kwestie van tijd.
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlOnlangs heeft de Europese Commissie (EC), na twee jaar stilte op de lijn, het besluit genomen dat de Verenigde Staten voldoende waarborgen bieden voor een veilige doorgifte van persoonsgegevens. Per 10 juli 2023 is dan ook het ‘Trans-Atlantic Data Privacy Framework’ in het leven geroepen wat data-uitwisseling tussen EU-US weer mogelijk maakt. Hoewel er nu een oplossing is gevonden voor data-uitwisseling tussen EU-US, lijkt het op basis van uitspraken van Max Schrems dat het een kwestie van tijd is voordat ook het ‘EU-US Privacy Framework’ nietig zal worden verklaard. Onze aanbeveling: blijf voorlopig werken met de Standard Contractual Clauses (SCC’s). In dit artikel leggen we uit waarom.
Afschaffing ‘Privacy Shield’ in 2020
Op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie het EU-US ‘Privacy Shield’ ongeldig (de zaak Schrems II), omdat de gegevensoverdracht niet voldoende veilig was onder die regeling. Organisaties in de EU konden dus geen persoonsgegevens aan de VS meer doorgeven op grond van het ‘Privacy Shield’.
Safe Harbor en Privacy Shield
“Sinds een EU-wet uit 1995 mogen persoonsgegevens over het algemeen niet buiten de EU worden verstuurd, tenzij er een ‘wezenlijk gelijkwaardige’ bescherming is in het land van bestemming. De Amerikaanse industrie leunde zwaar op een besluit van de EC, genaamd ‘Safe Harbor’, dat de VS in 2000 ‘in wezen gelijkwaardig’ verklaarde. Het Hof van Justitie heeft het besluit in 2015 nietig verklaard (Schrems I), gezien de invasieve Amerikaanse surveillancewetten. In 2016 heeft de EC grotendeels hetzelfde besluit over de EU-US gegevensdoorgifte opnieuw aangenomen onder de naam ‘Privacy Shield’, dat in 2020 door het Hof ongeldig is verklaard (Schrems II), grotendeels op dezelfde gronden.” (Bron: noyb.eu)
Sinds Schrems II was er geen privacyregeling meer tussen EU-US. Gegevensuitwisseling werd daardoor lastig. Op 10 juli 2023 is daar dus verandering in gekomen. De EC heeft de zogenaamde ‘Adequacy Decision’ genomen, wat inhoudt dat men van mening is dat een land of territorium genoeg waarborgen heeft om gegevens mee uit te wisselen.
EU-US Data Privacy Framework
De EU en VS hebben nu het zogenaamde ‘Trans-Atlantic Data Privacy Framework’ opgezet. Een organisatie kan zich aan dit Framework verbinden. Vervolgens dient een organisatie aan de privacywaarborgen te voldoen. Dat betekent o.a.:
- Dat men persoonsgegevens moet verwijderen wanneer deze niet langer nodig zijn voor het doel van verzameling.
- Dat er continuïteit van bescherming gegarandeerd moet worden, zodra persoonsgegevens worden uitgewisseld/gedeeld met derden.
Met de komst van het ‘Framework’ zijn ook beperkingen opgelegd aan hetgeen dat overheidsinstanties, zoals de NSA, in kunnen zien. Toegang tot EU-gegevens is beperkt tot wat noodzakelijk en evenredig is om de Amerikaanse nationale veiligheid te beschermen. Verder is het ‘Data Protection Review Court’ in het leven geroepen. Dit is een rechtbank die onafhankelijk klachten onderzoekt en oplost en waar nodig bindende corrigerende maatregelen kan treffen.
Hoewel er nu een oplossing is gevonden voor data-uitwisseling tussen EU-US, lijkt het op basis van uitspraken van Max Schrems dat het een kwestie van tijd is voordat ook het ‘EU-US Privacy Framework’ nietig zal worden verklaard. Max Schrems heeft namelijk al aangekondigd kritisch te kijken naar het ‘Trans-Atlantic Data Privacy Framework’:
Alles weten over informatiebeveiliging?
Wil je meer weten over informatiebeveiliging? Bekijk dan onze online gids over informatiebeveiligingsmanagement!
Max Schrems (voorzitter noyb, het Europese Centrum voor Digitale Rechten): “Net als ‘Privacy Shield’ is de nieuwe deal niet gebaseerd op materiële veranderingen, maar op politieke belangen. Er is geen substantiële verandering in de Amerikaanse surveillancewet en die is wel nodig om dit te laten werken. Een belangrijk aspect daarin is dat het Hof van Justitie eerder oordeelde dat de ‘Foreign Intelligence Surveillance Act (FISA 702) bulk surveillance’ niet ‘proportioneel’ is o.b.v. artikel 52 van het Handvest van de grondrechten (CFR) van de EU. Het ‘nieuwe’ US Executive Order 14086 zou nu het woord ‘proportioneel’ bevatten. De truc hier: de VS zullen een andere betekenis toekennen aan het woord proportioneel dan het Hof van Justitie. EO 14086 verklaart FISA 702 bulksurveillance ‘proportioneel’ te zijn onder een niet bekendgemaakte “VS-opvatting” van het woord wat in strijd is met de twee bevindingen van het Hof van Justitie. Op deze manier konden de EU en de VS beweren dat ze het eens waren over hetzelfde woord (‘proportioneel’) – zelfs als er geen overeenstemming is over de betekenis van het woord.”
Nyob heeft diverse procedurele opties voorbereid om de nieuwe deal voor het Hof van Justitie van de EU te brengen. Schrems: “We hebben al diverse opties in de la liggen, al zijn we het legale ge-pingpong beu. We verwachten dat dit begin volgend jaar weer bij het Hof van Justitie ligt. Het Hof zou dan zelfs de nieuwe deal kunnen opschorten, terwijl het de inhoud ervan toetst.” De afgelopen 23 jaar werden alle EU-US deals met terugwerkende kracht ongeldig verklaard. Daar lijken nu dus nog twee jaar bij te gaan komen (bron: Noyb.eu).
Blijf werken met de Standard Contractual Clauses (SCC)
Het is aan te bevelen om te blijven werken met de Standard Contractual Clauses (SCC’s). Deze optie is voor nu het meest veilig. In vergelijking met het ‘EU-US Privacy Framework’ bieden de Standard Contractual Clauses meer bescherming, omdat dit hele specifieke contractuele verplichtingen betreft. Onder andere verplichtingen op het gebied van het beveiligen van informatie en het waarborgen van de vertrouwelijkheid ervan. De Standard Contractual Clauses bieden dus een meer gedetailleerd kader voor gegevensoverdracht en gegevensbescherming dan het EU-US Privacy Framework.
Meer informatie of ondersteuning nodig?
Vragen over de impact van het ‘Trans-Atlantic Data Privacy Framework’ of heb je te maken met doorgifte van persoonsgegevens aan een land buiten de EER en weet je niet precies welke zaken je moet inregelen? Neem dan gerust contact met ons op. Wij helpen je graag verder om te (blijven) voldoen aan wet- en regelgeving!
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlVoldoe aan de NIB2-richtlijn!
Met het NIB2-ISO 27001 implementatie-pakket!
- Voldoe tijdig aan de wet
- Praktische implementatie
- Pakket op maat