Europese Commissie zet belangrijke stap richting vervanging Privacy Shield
Binnen de Europese Unie (EU) gelden strenge regels rondom gegevensbescherming, dankzij de AVG. Maar dergelijke regels zijn er in de VS niet, wat betekent dat de gegevensbescherming niet per se op hetzelfde niveau zit. Met het Privacy Shield - dat in 2016 van kracht werd - moest gezorgd worden dat de data die vanuit de EU wordt doorgestuurd naar de VS toch goed beschermd waren. Maar de rechter bepaalde in juli 2020 dat dit niet het geval was, waardoor Privacy Shield nietig werd verklaard.
Officieel is het sinds dat moment niet meer toegestaan om zomaar data door te geven naar de VS. Alleen met een doorgiftecontract en extra aanvullende maatregelen waarmee gegarandeerd wordt dat persoonsgegevens veilig zijn, mogen nu data naar de VS doorgegeven worden.
Alternatieve optie:
adequaatheidsbesluiten
De Europese Commissie kan veilige datadoorgifte echter ook mogelijk maken zonder regelingen als Privacy Shield. Op basis van artikel 45 van de AVG kan de Europese Commissie namelijk bepalen of een land buiten de EU een adequaat niveau van databescherming biedt. Met andere woorden: de databescherming daar moet in de buurt komen van onze AVG.
Is dat het geval, dan wordt er een adequaatheidsbesluit genomen, waarna er persoonlijke data vanuit de EU doorgegeven mag worden naar dat land buiten de EU, zonder dat daar verdere maatregelen genomen moeten worden. Dergelijke adequaatheidsbesluiten zijn al genomen voor bijvoorbeeld het Verenigd Koninkrijk, Zwitserland, Canada, Argentinië en Israël.
Nu heeft de Europese Commissie ook een concept adequaatheidsbesluit gepubliceerd voor de VS. De Amerikaanse president Biden tekende op 7 oktober namelijk een presidentieel bevel, waarmee onder meer extra regels worden ingesteld om te voorkomen dat de Amerikaanse autoriteiten en inlichtingendiensten zomaar toegang kunnen krijgen tot data. Volgens de Europese Commissie zijn daarmee belangrijke zorgen van het Hof van Justitie van de EU over gegevensbescherming in de VS weggenomen.
Data Privacy Framework in aantocht
Het adequaatheidsbesluit wordt echter niet voor de gehele VS genomen, maar specifiek voor het Data Privacy Framework, waar in maart 2022 al een principeakkoord over werd gesloten. Amerikaanse bedrijven kunnen zich bij dat framework aansluiten als zij voldoen aan een gedetailleerde set aan privacyverplichtingen. Het gaat bijvoorbeeld om de eis dat persoonsgegevens verwijderd worden als die niet langer nodig zijn voor het doeleinde waar ze voor verzameld werden. Ook moeten bedrijven ervoor zorgen dat persoonsgegevens goed beschermd blijven als zij gedeeld worden met derde partijen.
Het moet straks dus mogelijk worden om data vanuit de EU door te geven aan Amerikaanse bedrijven, mits zij aangesloten zijn bij het Data Privacy Framework. Maar voor het zover is, moeten er nog wel diverse stappen genomen worden om het adequaatheidsbesluit te adopteren.
Allereerst is het conceptbesluit nu naar de European Data Protection Board gestuurd, die daar zijn mening over moet geven. Daarna moet het conceptbesluit voorgelegd worden aan vertegenwoordigers van de EU-lidstaten en moet het Europees Parlement nog akkoord gaan. Pas daarna kan de Commissie het definitieve adequaatheidsbesluit adopteren en kan de vrije datadoorgifte tussen de EU en aangesloten Amerikaanse bedrijven weer van start gaan. Hoe lang dat nog gaat duren, is nog onbekend.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee