Veilig persoonsgegevens uitwisselen met organisaties in de Verenigde Staten (VS)? Dat was sinds de uitspraak Schrems II (C-311/18) een stuk lastiger. Door die uitspraak kon de doorgifte van persoonsgegevens op basis van het Privacy Shield immers niet meer plaatsvinden. Nu heeft de Europese Commissie een nieuw adequaatheidsbesluit genomen over de gegevensstromen tussen de EU en de VS. Met een adequaatheidsbesluit geeft de Commissie aan dat er volgens de AVG een passend beschermingsniveau van persoonsgegevens wordt geboden. Hierdoor kunnen persoonsgegevens vanuit de EU nu veilig worden doorgegeven aan Amerikaanse bedrijven die aan het EU-VS-kader deelnemen, zonder dat er aanvullende waarborgen nodig zijn. Dit kan handig zijn voor decentrale overheden die bepaalde bedrijfsprocessen hebben ondergebracht bij bedrijven die zijn gevestigd in de VS. Hierdoor kunnen persoonsgegevens van tussen deze decentrale overheid en de VS vrij worden doorgegeven.
Gegevens uitwisselen met derde landen
Op grond van de Algemene Verordening Gegevensbescherming (AVG) worden persoonsgegevens binnen de EU beschermd. Een kenmerk van data en een gedigitaliseerde samenleving is echter dat gegevensstromen niet zomaar ophouden bij de grenzen van de EU. Decentrale overheden moeten ook rekening houden met de AVG wanneer zij persoonsgegevens laten verwerken door organisaties buiten de EU, bijvoorbeeld wanneer deze worden opgeslagen op een server in de VS. Er is dan sprake van gegevensuitwisseling met derde landen.
De doorgifte van persoonsgegevens naar derde landen is alleen mogelijk wanneer dit derde land een ‘passend beschermingsniveau’ biedt. Voor een aantal derde landen heeft de Commissie een adequaatheidsbesluit genomen. Hiermee geeft de Commissie aan of dit land (of de sector) een passend beschermingsniveau van persoonsgegevens biedt, op grond van artikel 45 AVG. Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar:
- rechtsstatelijkheid;
- de effectiviteit van onafhankelijke toezichthoudende autoriteiten die toezien op de naleving van gegevensbeschermingsregels;
- en de internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.
Als er sprake is van een passend beschermingsniveau is er geen specifieke toestemming nodig voor de gegevensdoorgifte.
Doorgifte persoonsgegevens aan de Verenigde Staten
In 2016 nam de Commissie een adequaatheidsbesluit voor de gegevensuitwisseling met de Verenigde Staten. Dit besluit gold niet voor het hele land, maar alleen voor organisaties die zich bij het zogeheten Privacy Shield hadden aangesloten. Hierdoor was gegevensuitwisseling met dergelijke organisaties mogelijk. In de Schrems II-uitspraak (juli 2020) werd het Privacy Shield echter ongeldig verklaard. KED schreef hier destijds een EUrrest over. Daarna was de doorgifte van persoonsgegevens naar de VS op basis van het adequaatheidsbesluit niet meer mogelijk. Gegevens konden nog wel worden overgedragen in specifieke situaties zoals genoemd in artikel 49 AVG of door middel van een verwerkersovereenkomst.
Nieuw EU-VS-kader voor gegevensbescherming
Met het nieuwe adequaatheidsbesluit en het daarmee gepaarde EU-VS-kader voor gegevensbescherming is het volgens de Commissie veilig om persoonsgegevens vanuit de EU door te geven aan Amerikaanse bedrijven, omdat er nieuwe bindende waarborgen in het EU-VS-kader zijn ingevoerd door de Commissie. Eén van die waarborgen is het oprichten van een Data Protection Review Court (DPRC). Natuurlijke personen uit de EU krijgen toegang tot de DPRC, die vervolgens kan besluiten om gegevens die in strijd met de nieuwe waarborgen zijn verzameld te wissen. Een andere belangrijke waarborg is dat de toegang van Amerikaanse inlichtingendiensten tot EU-gegevens noodzakelijk en evenredig moet zijn.
Voor bedrijven geldt dat zij verschillende privacy verplichtingen moeten naleven voordat zij kunnen toetreden tot het EU-VS kader voor gegevensbescherming. Deze verplichtingen komen overeen met de AVG. Zo moeten zij ervoor zorgen dat gegevens niet onnodig lang worden bewaard en dat gegevensuitwisseling met derden het voortzetten van de bescherming van die gegevens niet in de weg staat.
Hoe nu verder?
Het beschermingskader zal periodiek worden getoetst. Dit doet de Commissie samen met vertegenwoordigers van de Europese gegevensbeschermingsautoriteiten en de bevoegde Amerikaanse autoriteiten. De eerste toetsing vindt binnen één jaar na de inwerkingtreding van het adequaatheidsbesluit plaats. Er wordt dan getoetst of alle relevante elementen volledig en juist zijn omgezet in de Amerikaanse wet en of deze elementen doeltreffend functioneren.
Het adequaatheidsbesluit werd vastgesteld op 10 juli en trad direct na vaststelling in werking. Het besluit kan worden aangepast of zelfs worden ingetrokken indien er ontwikkelen zijn die effect hebben op het beschermingsniveau in het betreffende derde land.
Bron
Adequaatheidsbesluit voor het EU-VS-kader voor gegevensbescherming, Europese Commissie
Meer informatie
Gegevensbescherming: Europese Commissie stelt nieuw adequaatheidsbesluit vast met het oog op veilige en betrouwbare gegevensstromen tussen de EU en de VS, Europese Commissie
Gegevensuitwisseling met derde landen, Kenniscentrum Europa Decentraal
Privacy Shield voor doorgifte van gegevens aan de Verenigde Staten ongeldig verklaard, Kenniscentrum Europa Decentraal
