De Europese Commissie heeft een concept adequaatheidsbesluit voor het EU-US Data Privacy Framework gepubliceerd! Hoezee! Het Privacy Shield heeft eindelijk (bijna, misschien) een opvolger.
Een concept? Wat voor besluit? Wat kunnen we hier eigenlijk mee?
Data Privacy Framework?
Eerst een klein beetje context (mocht je dat niet willen, scroll door naar “En nu?”). Als je als organisatie binnen de Europese Economische Ruimte (“EER”) werkt en persoonsgegevens uitwisselt, of wil uitwisselen, met een organisatie daarbuiten, moet er gekeken worden of het niveau van gegevensbescherming op die andere locatie wel een beetje in orde is. De Algemene verordening gegevensbescherming (“AVG”) stelt voorwaarden aan zo’n “internationale data doorgifte”. Die voorwaarden zouden ervoor moeten zorgen dat de gegevensbescherming voor een individu “essentieel equivalent” is. Oftewel dat het enigszins dichtbij de AVG-lat komt.
Een van die manieren om dat te doen is als de Europese Commissie heeft onderzocht en besloten dat dat land een adequaat niveau van gegevensbescherming kent (artikel 45 AVG). Zij neemt daarover een adequaatheidsbesluit. Als dat er is, kan je met een organisatie in dat derde land met een gerust hart persoonsgegevens doorgeven. Zoals dat nu bijvoorbeeld met het Verenigd Koninkrijk het geval is.
Op 7 oktober tekende President Biden de “Executive Order” die toeziet op het versterken van waarborgen voor de Verenigde Staten op het gebied van inlichtingendiensten. Dat vormt de basis voor het EU-US Data Privacy Framework waar de Europese Commissie nu z’n zegje over heeft gedaan.
Het idee is dat deze “EU-US DPF” de zorgen wegneemt die het Hof van Justitie van de Europese Unie uitte over hoe de VS met persoonsgegevens van Europese burgers omgaat.
En nu?
De Europese Commissie publiceerde een concept adequaatheidsbesluit van 134 pagina’s. Daarin staat waarom de Europese Commissie de EU-US DPF adequaat acht in de zin van artikel 45 AVG. De belangrijkste wijzigingen waar naar is gekeken gaan over:
- de mogelijkheid voor Europese burgers bezwaar te maken in geval van surveillance door de Amerikaanse overheid door het gebruik van een tweelaags mechanisme:
- de eerste laag is de “Civil Liberties Protection Officer”. Die is verantwoordelijk dat de Amerikaanse inlichtingendiensten in lijn met privacy en mensenrechten te werk gaan, en kan je klachten bij indienen als Europees burger;
- de tweede laag is de nieuwe “Data Protection Review Court” waar je in beroep kan gaan als de beslissing van de “Civil Liberties Protection Officer” je niet zint.
- wanneer Amerikaanse inlichtingendiensten surveillance kunnen inzetten. Dit was volgens het Hof van Justitie van de Europese Unie te breed. In het nieuwe EU-US DPF zou noodzakelijkheid en proportionaliteit beter geborgd moeten zijn, zoals we dat ook in ons Europees rechtssysteem zien in geval dat er een inbreuk op een grondrecht plaatsvindt (alleen als het écht niet anders kan, en het is voor bepaalde doeleinden, dan mag het).
Als deze beslissing finaal is, geldt dat als rechtmatige grondslag voor internationale data doorgifte met de VS.
Zijn we er al bijna?
Helaas niet. Dit concept wordt voorgelegd aan de Europese toezichthouders (European Data Protection Board) en vervolgens aan een commissie met vertegenwoordigers van de EU lidstaten. Als sluitstuk moet het Europees Parlement nog zijn zegen geven voordat de Europese Commissie dit adequaatheidsbesluit mag adopteren, en het in werking treedt als rechtmatige basis voor internationale data doorgifte.
Lang verhaal kort: het gaat op z'n minst nog maanden duren voordat er gemakkelijker persoonsgegevens met de VS gedeeld kunnen worden. Het is wat dat betreft een stap in de goede richting. Maar Schrems is de messen ondertussen ook weer aan het slijpen.
Wij houden de ontwikkelingen in ieder geval in de gaten!
