Het EU-US Data Privacy Framework is er: en nu?
Na 3 jaar onzekerheid rondom de gegevensoverdracht naar de Verenigde Staten, heeft de Europese Commissie op 10 juli 2023 het nieuwe EU-US Data Privacy Framework (DPF) aangenomen. Dankzij het DPF is het een stuk makkelijker geworden voor Europese bedrijven en organisaties om persoonsgegevens van Europese burgers door te geven aan Amerikaanse bedrijven.
Wat is er ook al weer gebeurd?
Een korte opfrisser. Vanaf de jaren ‘90 konden persoonsgegevens doorgegeven worden naar de VS op basis van het Safe Harbor akkoord. In 2015 werd hier een streep door gezet door het Europese Hof van Justitie, omdat dit akkoord de privacy van Europeanen onvoldoende beschermde (Schrems I). Daaruit volgde na vele onderhandelingen een nieuwe juridische basis: het Privacy Shield. In de zomer van 2020 haalde het Europese Hof ook deze regeling onderuit, omdat het onvoldoende garanties voor gegevensbescherming bood (Schrems II). Sindsdien kon de doorgifte van persoonsgegevens naar de VS eigenlijk alleen via ‘Standard Contractual Clauses’ (SCC’s), samen met een zogeheten ‘Data Transfer Impact Assessment’ (DTIA). Hierbij moest je als organisatie ook aanvullende maatregelen treffen om het beschermingsniveau te waarborgen. Maar welke aanvullende maatregelen voldoende waren, was niet altijd even duidelijk. Er werd dus reikhalzend uitgekeken naar een nieuw adequaatheidsbesluit.
Het Data Privacy Framework
Begin 2022 sloten de EU en de VS al een politiek akkoord om een nieuw adequaatheidsbesluit op te zetten. Vervolgens werden via een ‘Executive Order’ aanpassingen doorgevoerd in het rechtsstelsel van de VS. Daarin zitten aanvullende waarborgen voor veilige datadoorgifte naar de VS. Deze aanpassingen hebben ervoor gezorgd dat de Amerikaanse inlichtingendiensten alleen toegang tot gegevens mogen hebben indien dit ‘noodzakelijk en proportioneel’ is voor de nationale veiligheid, en er een onafhankelijk en onpartijdig verhaalmechanisme is ingesteld voor klachten van Europese burgers. Betrokkenen kunnen hun klachten indienen bij hun nationale toezichthouder. Via de European Data Protection Board gaan de klachten naar de VS. Daar onderzoekt een ‘Civil Liberties Protection Officer’ de klachten. Is de betrokkene het niet eens met de uitkomst hiervan, dan kan er beroep aangetekend worden bij het ‘Data Protection Review Court’.
De Europese Commissie heeft volgend op deze aanpassingen het Data Privacy Framework aangenomen. Met dit nieuwe adequaatheidsbesluit geeft de Europese Commissie aan dat het beschermingsniveau van persoonsgegevens in de VS gelijkwaardig is aan dat van Europa. Het adequaatheidsbesluit is met de goedkeuring ervan op 10 juli gelijk in werking getreden. Het adequaatheidsbesluit wordt om de vier jaar door de Europese Commissie getoetst. De eerste evaluatie staat gepland voor volgend jaar.
Wat betekent het Data Privacy Framework voor Amerikaanse organisaties?
Gegevens kunnen pas met Amerikaanse bedrijven gedeeld worden, als die bedrijven zich bij het DPF hebben aangesloten en in het DPF-register staan. Amerikaanse organisaties kunnen dit doen via zelf-certificering. Let op: dat is dus anders dan bij andere adequaatheidsbesluiten, waar deze actieve deelname van organisaties niet vereist is. Amerikaanse organisaties moeten onder andere hun privacybeleid laten aansluiten bij het DPF, deze wijzigingen doorvoeren in hun privacyverklaring en dit publiekelijk bekend maken. Ook dienen zij een onafhankelijk verhaalmechanisme in te stellen. Vervolgens kunnen zij de aanvraag tot opname in het register indienen bij de ‘International Trade Administration’ (ITA) van de US Department of Commerce. De ITA controleert de naleving van het DPF, en neemt na akkoord de organisatie op in het register.
Amerikaanse bedrijven die zijn gecertificeerd onder het Privacy Shield worden automatisch overgezet naar het DPF-register, en moeten binnen drie maanden hun privacybeleid bijwerken en aansluiten bij het DPF. Anders vervalt hun inschrijving.
Meer informatie hierover is te vinden op de website van de ITA.
Hoe zit het met de andere doorgiftemechanismen?
Naast een adequaatheidsbesluit heb je ook nog onder andere de SCC’s en de BCR’s (voor gegevensverkeer tussen verschillende vestigingen binnen de eigen internationale organisatie). Wanneer een Amerikaanse organisatie aangesloten is bij het DPF, hoef je geen SCC’s of BCR’s meer overeen te komen. Je hoeft dus ook geen DTIA meer uit te voeren.
Is een Amerikaanse organisatie niet aangesloten bij het DPF, dan moet je gebruik maken van een ander doorgiftemechanisme, zoals de SCC’s. In dat geval moet je ook een DTIA uitvoeren. De waarborgen die de VS heeft doorgevoerd in hun rechtsstelsel gelden niet alleen voor het DPF: de waarborgen gelden voor alle gegevensdoorgiften naar de VS, onder welk doorgiftemechanisme dan ook. Dat betekent dat die waarborgen het uitvoeren van een DTIA zullen vergemakkelijken – en ook kan het daardoor zijn dat het niet meer vereist is om aanvullende maatregelen op de SCC’s in te voeren.
Wat betekent het Data Privacy Framework voor jou als organisatie?
Als je persoonsgegevens aan een Amerikaanse partij wil doorgeven, doorloop dan de volgende stappen:
- Controleer of de Amerikaanse partij in het DPF-register staat;
- Zo ja: dan kan je persoonsgegevens doorgeven naar deze partij zonder verdere voorwaarden (natuurlijk gelden de overige Avg-verplichtingen nog wel);
- Staat de organisatie niet in het register, maak dan gebruik van een ander doorgiftemechanisme, zoals de SCC’s. Voer in dat geval ook een DTIA uit (en verwijs hierbij naar het besluit van de Europese Commissie dat het beschermingsniveau van persoonsgegevens in de VS gelijkwaardig is aan dat van Europa).
Tot slot
Het Europese Hof van Justitie heeft al twee keer eerder een soortgelijke constructie ongeldig verklaard. Er is ook ditmaal weer kritiek op het DPF. Onder andere vanuit het Europees Parlement en de European Data Protection Board. De kans is dus groot dat het Europese Hof in de toekomst moet beslissen over het DPF (met mogelijk een Schrems III tot gevolg). Een dergelijke uitspraak laat echter doorgaans enige jaren op zich wachten. Tot die tijd kunnen Europese organisaties zonder verdere voorwaarden persoonsgegevens blijven doorgeven aan Amerikaanse organisaties onder het DPF.