Principe akkoord EU-VS voor gegevensbescherming

Wat eraan vooraf ging…

De EU privacy wetgeving bepaalt dat het voor landen van de EU in beginsel niet toegestaan is om gegevens uit te wisselen met “derde landen”. Derde landen zijn alle landen buiten de EU, met uitzondering van Noorwegen, Liechtenstein en IJsland. Zo is de VS dus ook een “derde land” vanuit het oogpunt van de AVG.

Er is echter een uitzondering: er mag namelijk wel sprake zijn van gegevensuitwisseling met derde landen indien dat land “adequate” privacybescherming heeft, die in overeenstemming is met de bescherming die het EU (privacy)recht biedt. Dit kan op een aantal manieren, waaronder het zogenaamde adequaatheidsbesluit en modelovereenkomsten, waarover hieronder meer.

Daarom had de Europese Commissie besloten om samen met de VS de “Safe Harbor Privacy Principles” in het leven te roepen in juli 2000. Het beloofde in wezen de gegevens van EU-burgers te beschermen als ze door Amerikaanse bedrijven in de VS zouden worden verwerkt.

Safe Harbor bij nader inzien toch niet zo “safe”

Helaas mochten de Safe Harbor Privacy Principles niet baten, want het Europese Hof van Justitie heeft de Safe Harbor Principles ongeldig verklaard in 2015 (in het Schrems – I arrest). Het Hof vond dat de Amerikaanse Safe Harbor het grondrecht op eerbiediging van het privéleven aantast, omdat de Amerikaanse autoriteiten algehele toegang hebben tot de inhoud van elektronische communicatie en dus niet aan de Safe Harbor Principles kunnen voldoen. Ook was het verwijt dat Safe Harbor geen voorrang heeft in geval van een conflict met de Amerikaanse wet.

Dit betekende dus dat er nieuwe onderhandelingen opgestart moesten worden tussen de EU en de VS om de Safe Harbor Principles te verbeteren en betere waarborgen te garanderen.

EU-VS Privacy Shield

Gelukkig was de aangepaste versie al snel opgesteld en per juli 2016 gold de “EU-VS Privacy Shield” als vervanger van de Safe Harbor Principles. Amerikaanse bedrijven mogen op basis van deze Privacy Shield in de VS persoonsgegevens verwerken van Europese burgers. Het Privacy Shield verdrag was dus een adequaatheidsbesluit op grond waarvan door VS bedrijven toch voldaan kon worden aan een gelijke mate van bescherming van persoonsgegevens van EU burgers zoals die in de EU geldt.

Max Schrems is nogal ijverig

Schrems is een Oostenrijkse advocaat en privacy-activist. Door zijn klacht bij het Europese Hof van Justitie over de Safe Harbor Principles, zijn deze ongeldig verklaard (“Schrems-I”). Schrems was echter ook niet tevreden over de opvolger EU-VS Privacy Shield en ditmaal spande hij een zaak aan tegen Facebook. Ook nu weer bleek dat het Privacy Shield niet voldoende waarborgen bevatte voor bescherming van persoonsgegevens van EU burgers bij verwerking in de VS en nog steeds zouden Amerikaanse veiligheidsdiensten te ruime toegang hebben tot deze data. Deze uitspraak van 16 juli 2020 staat bekend als “Schrems-II” en daarin werd het Privacy Shield ongeldig verklaard. Verder werd daarin bepaald dat als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, zij toch nog persoonsgegevens mogen doorgeven aan derde landen. Dit kan middels zogenaamde modelovereenkomsten.

EU en VS moeten weer aan het werk

Nu er geen rechtsgeldige afspraken meer zijn over de verwerking van persoonsgegevens tussen de EU en de VS, zijn veel ondernemingen op zoek naar antwoorden. Het is van essentieel belang dat de EU en de VS gauw een nieuwe overeenkomst sluiten. Na vele maanden van onzekerheid, hebben de EU en de VS eindelijk een principe akkoord bereikt. Deze heet heel chique de “Trans-Atlantic Data Privacy Framework”. Dit zijn de belangrijkste kenmerken van dat principe akkoord:

• Gegevens kunnen vrij en veilig tussen de EU en deelnemende Amerikaanse bedrijven bewegen;
• Een nieuwe reeks regels en bindende waarborgen om de toegang tot gegevens door Amerikaanse inlichtingendiensten te beperken tot wat nodig en evenredig is om de nationale veiligheid te beschermen;
• Een nieuw tweeledig verhaalsysteem voor het onderzoeken en oplossen van klachten van Europeanen over toegang tot gegevens door Amerikaanse inlichtingendiensten, waaronder een Data Protection Review Rechtbank;
• Sterke verplichtingen voor bedrijven die gegevens verwerken die zijn overgedragen vanuit de EU, om het vereiste op te nemen om hun naleving van de Principes zelf te certificeren via het U.S. Department of Commerce;
• Specifieke monitoring- en beoordelingsmechanismen.

Er is nog werk aan de winkel!

Nu het principe akkoord op tafel ligt, moeten teams van de VS-overheid alsook de EU met elkaar om tafel om het akkoord te vertalen naar juridische documenten en mogelijk nieuwe richtlijnen/verdragen, die in de plaats van het Privacy Shield zullen worden gebruikt. Tot die tijd blijft er nog veel onzekerheid bestaan in de samenwerking tussen EU en VS contractspartijen inzake de verwerking van persoonsgegevens. Driemaal is scheepsrecht, zou dat hier ook gelden? Of komt er nog een Schrems-III arrest? Dit valt nog te bezien en wij houden de ontwikkelingen nauw in de gaten om onze klanten goed te kunnen adviseren.

Een mogelijke redder in nood: doorgifte-instrumenten

Voorlopig worden doorgifte-instrumenten (waaronder modelcontracten, ofwel Standard Contractual Clauses) gezien als een mogelijke oplossing. Of deze instrumenten voldoen, moet per geval worden bekeken. Wij denken hierin graag met u mee! U kunt alvast dit artikel lezen voor een aantal tips waar u naar kunt kijken.

Neem gerust contact met ons op voor verdere advisering en/of vragen over dit artikel.