Kunnen persoonsgegevens weer vrij overgemaakt worden naar de VS?

Het EU-US Data Privacy Framework

Volgens de Algemene Verordening inzake Gegevensbescherming (AVG of GDPR) is het in principe niet toegelaten om persoonsgegevens verzameld in de EU door te sturen naar organisaties of ondernemingen in landen buiten de EU. Dat kan alleen wanneer is aangetoond dat die organisatie of onderneming een passend beschermingsniveau waarborgt (op basis van nationale wetgeving of haar eigen beleid). Voor verschillende derde landen en internationale organisaties heeft de Europese Commissie een adequaatheidsbesluit genomen, waarin wordt erkend dat dat land of die organisatie dat passend beschermingsniveau waarborgt. In die gevallen kunnen persoonsgegevens zonder meer doorgegeven worden vanuit de EU. Voor de VS was er tot voor kort geen adequaatheidsbesluit (meer) en moesten bedrijven dus terugvallen op bindende bedrijfsvoorschriften of standaard contractuele clausules (SCC's), goedgekeurd door de Commissie. Daar is met het adequaatheidsbesluit van 10 juli 2023 opnieuw verandering in gebracht.

Met dit adequaatheidsbesluit kwam namelijk het "EU-US Privacy Framework" tot stand. Amerikaanse organisaties en ondernemingen die zich aansluiten bij dit Framework worden geacht voldoende bescherming te bieden aan persoonsgegevens. Het besluit gaat dus niet zo ver dat het de héle VS als adequaat bestempelt. Let dus op: u kan enkel vrij persoonsgegevens doorgeven aan Amerikaanse bedrijven die deelnemen aan het Framework. Check hier of dit het geval is voor het bedrijf waarmee u samenwerkt.

De deelnemende organisaties en ondernemingen engageren zich om een set principes inzake gegevensbescherming na te leven, die de Commissie samen met het Amerikaanse "Department of Commerce" heeft uitgewerkt. Vervolgens doen deze organisaties en ondernemingen een zelfanalyse van hun privacy-beleid ("Self-certification" genoemd), dat wordt ingediend bij het Department of Commerce. Als de analyse volledig is, dan zet het Department of Commerce de onderneming op de lijst van het Framework. Deze zelfcertificering moet jaarlijks herhaald worden.

Wat vooral nieuw is, is dat het Framework bindende waarborgen heeft ingevoerd om de toegang tot persoonsgegevens uit de EU voor de Amerikaanse inlichtingendiensten te beperken tot wat "noodzakelijk en proportioneel" is. Er is ook een aparte, onafhankelijke autoriteit in het leven geroepen waarbij Europeanen een klacht kunnen indienen over de inzage in en het gebruik van hun gegevens door Amerikaanse inlichtingendiensten.

Vernieuwing of oude wijn in nieuwe vaten?

Dit systeem doet heel erg denken aan de vorige twee adequaatheidsbeslissingen van de Europese Commissie met betrekking tot de VS: de "US-EU Safe Harbor agreement" (2000-2015) en het "EU-US Privacy Shield" (2016-2020). Beide regelingen tussen de EU en de VS zijn aangevochten door Maximiliaan Schrems bij het Europees Hof van Justitie. Het Hof heeft in beide zaken geoordeeld dat de adequaatheidsbesluiten die gebaseerd waren op deze regelingen in strijd waren met de AVG en dus ongeldig.

Ook deze twee systemen bestonden erin dat Amerikaanse organisaties en ondernemingen zich vrijwillig konden aansluiten door de voorgeschreven privacy principes na te leven en zichzelf te certificeren. Dit systeem van zelfcertificering was niet per se problematisch volgens het Hof. Wat wel problematisch was, was de quasi onbeperkte toegang tot alle persoonsgegevens voor de Amerikaanse inlichtingendiensten. Deze toegang zou beperkt moeten zijn tot wat strikt noodzakelijk en proportioneel is voor de bescherming van de nationale veiligheid. Bovendien hadden Europese burgers ook geen toegang tot een onafhankelijke rechtbank om een klacht in te dienen over inbreuken op hun privacy door de Amerikaanse overheid.

De Europese Commissie verzekert in haar persbericht over het nieuwe Data Privacy Framework dat ze nu echt tegemoet gekomen is aan de bezorgdheden van het Hof van Justitie en voldoende waarborgen heeft ingebouwd om de toegang van de Amerikaanse inlichtingendiensten in te perken. De scepsis en kritiek in professionele kringen is echter zeer groot.

De Executive Order die deze waarborgen in het Amerikaanse rechtstelsel zou moeten inbouwen, is namelijk slechts een interne richtlijn van de president en geen wet. Bovendien lijkt deze tekst vooral geschreven om de EU naar de mond te praten. Ze bevat verwijzingen naar de principes van strikte noodzaak en proportionaliteit, maar er is serieuze twijfel over de implementatie van deze principes in de praktijk. De Amerikaanse invulling van een noodzaak voor de publieke veiligheid is namelijk veel ruimer dan de Europese invulling daarvan. Ook op de nieuwe autoriteit bestaat kritiek. Deze zou toch niet zo onafhankelijk en transparant te werk gaan als men op het eerste zicht doet uitschijnen. Om die reden heeft Maximiliaan Schrems alvast aangekondigd om ook tegen het Data Privacy Framework naar het Hof van Justitie te trekken. To be continued.

Concrete gevolgen voor Europese ondernemingen

In principe kunnen Belgische en Europese ondernemingen sinds 10 juli 2023 opnieuw vrij persoonsgegevens delen met Amerikaanse ondernemingen, voor zover zij zijn aangesloten bij het Framework.

Verscheur echter uw bestaande standard contractual clauses nog niet meteen! Gelet op de grote controverse blijft het verstandig om enige voorzichtigheid aan de dag te leggen. Als uw onderneming al alternatieve grondslagen heeft gevonden voor doorgifte van data naar de VS, blijf die dan vooral gebruiken. Als die alternatieve grondslagen er niet zijn, is dat momenteel geen probleem meer, maar hier kan over enige tijd opnieuw verandering in komen.

Voor nu volstaat het dus om na te gaan of de onderneming waarmee u wil samenwerken is aangesloten bij het Framework (check hier). Als uw onderneming echter nood heeft aan zekerheid op de lange termijn, raden wij aan om toch ook de alternatieven alvast te bekijken. Aarzel dus niet om ons team te contacteren om samen een analyse te maken van de beste oplossing voor uw bedrijf.