Op 10 juli 2023 heeft de Europese Commissie haar adequaatheidsbesluit voor het ‘EU-US Data Privacy Framework’ aangenomen. We mogen weer persoonsgegevens naar de VS sturen. En dat terwijl het Europees Parlement nog niet zo lang geleden kritisch was. We begrijpen dat dit vragen bij je oproept. We zetten de vragen die we ons het meest kunnen voorstellen hieronder op een rijtje. Inclusief antwoord natuurlijk.
Wat is het>Data Privacy Framework?
Het Data Privacy Framework (DPF) is de opvolger van het Privacy Shield. Wat op haar beurt weer de opvolger was van Safe Harbor. Instrumenten die helpen bij een veilige doorgifte van persoonsgegevens naar bedrijven in de VS.
Maar mogen we dan weer persoonsgegevens doorgeven naar de VS?
Ja, sinds 10 juli 2023 mogen persoonsgegevens weer verwerkt worden in de VS. De EU en de VS hebben overeenstemming bereikt over een set aan afspraken. Ze hebben het DPF opgetuigd en de Amerikaanse president heeft een Executive Order opgesteld. De Europese Commissie heeft daar naar gekeken en vindt het adequaat.
Moeten we nog iets doen voordat we gegevens naar de VS sturen?
Jazeker, gegevens kunnen pas met Amerikaanse bedrijven gedeeld worden, als die bedrijven zich bij het DPF hebben aangesloten. Dat is op www.dataprivacyframework.gov terug te vinden en zal binnenkort uiteraard ook door de bedrijven zelf breed uitgedragen gaan worden.
Moet ik een verwerkersovereenkomst sluiten?
Ja, dat moet nog wel als een verwerker is aangesloten bij het DPF. Als je persoonsgegevens door een verwerker in de VS laat verwerken is het verplicht om een verwerkersovereenkomst te sluiten.
Hebben we de standard contractual clauses (SCC) nog nodig?
SCC´s hoeven niet meer gesloten te worden met Amerikaanse partijen die aangesloten zijn bij het DPF. Is dat niet het geval en wil je toch persoonsgegevens door een Amerikaans bedrijf laten verwerken? Dan kan het wel nodig zijn om de SCC’s alsnog te gebruiken.
Wat doen we met SCC´s die al gesloten zijn?
Niets, die kunnen gebruikt blijven worden. Maar de SCC’s bevatten wel een bepaling die het mogelijk maakt om de SCC’s in te trekken en verder te vertrouwen op het DPF.
Wat te doen met Data Transfer Impact Assessments (DTIA’s)?
Die zijn niet meer noodzakelijk om uit te voeren als een Amerikaanse partij is aangesloten bij het DPF. Wanneer een partij niet is aangesloten bij het DPF en SCC’s wenst te gebruiken, is het uitvoeren van een DTIA nog wel noodzakelijk. Door het adequaatheidsbesluit van de Europese Commissie zal de uitvoering van een DTIA wel eenvoudiger worden.
Is dit eindelijk een oplossing voor de lange termijn?
Dat valt nog te bezien. Max Schrems heeft al aangegeven ook deze nieuwe constructie onder vuur te gaan nemen. Dat heeft hij eerder met de voorgangers van het DPF succesvol gedaan.
Wat betekent dit voor Google Analytics?
Google Analytics is in diverse Europese landen verboden door de nationale privacytoezichthouders. De Autoriteit Persoonsgegevens doet tot op heden nog steeds onderzoek. De verschillende Europese verboden waren allen gebaseerd op het feit dat Google onrechtmatig persoonsgegevens doorgaf naar de VS. Zodra Google zich conformeert aan het DPF, lijken hiermee de bezwaren tegen het gebruik van Google Analytics verleden tijd. Google Analytics kan dan weer rechtmatig gebruikt worden.
