De laatste jaren zijn er op het gebied van internationale gegevensuitwisseling vele ontwikkelingen. Een van de laatste ontwikkelingen is dat de VS een Executive Order heeft ondertekend op basis waarvan een nieuw regeling voor de doorgifte van persoonsgegevens van de EU naar de VS kan plaatsvinden. De regeling wordt (vooralsnog) aangeduid als het Data Privacy Framework. Het optuigen van het Data Privacy Framework is de derde poging die wordt gedaan om een grondslag te bieden voor de gegevensuitwisseling tussen de EU en VS. De Safe Harbor en het Privacy Shield gingen al voor. In deze blog geef ik een overzicht van de ontwikkelingen met als (tijdelijk) eindstation de Executive Order voor het Data Privacy Framework.
Lees hier wanneer sprake is van internationale gegevensuitwisseling.
Poging 1: Safe Harbor
2000 - 2015: Safe Harbor
Op 25 augustus 2000 trad het Safe Harbor verdrag in werking. De Safe Harbor werkte als volgt. Amerikaanse partijen konden door middel van zelfcertificering verklaren zich aan de Europese privacywetgeving te houden. Zodra een Amerikaanse partij was gecertificeerd, werd de partij als een Safe Harbor beschouwd.
2015: Schrems-I (Safe Harbor ongeldig)
Aan het Hof van Justitie (Hof) wordt de vraag voorgelegd of Safe Harbor voldoende waarborgen biedt voor de gegevensdoorgifte vanuit de EU naar de VS. Op 6 oktober 2015 oordeelt het Hof dat dit niet het geval is. De Safe Harbor regeling is namelijk niet verankerd in het Amerikaanse rechtsstelsel. Consequentie daarvan is dat de belangen van Amerikaanse veiligheidsdiensten altijd prevaleren boven de privacybelangen van EU-burgers. Het Hof verklaart de Safe Harbor ongeldig.
Poging 2: Privacy Shield
2016 - 2020: Privacy Shield
Op 12 juli 2016 wordt het Privacy Shield door de Europese Commissie aangenomen. Met het Privacy Shield wordt een tweede poging gedaan om een grondslag te creëren voor de doorgifte van persoonsgegevens naar de VS. Net als bij de Safe Harbor vormt zelfcertificering de basis van het Privacy Shield. Amerikaanse gecertificeerde partijen mogen persoonsgegevens verwerken van EU-burgers. Een verschil ten opzichte van de Safe Harbor is dat er voor Amerikaanse partijen strengere voorwaarden gelden om in aanmerking te komen voor het Privacy Shield. Enkele voorbeelden hiervan zijn dat er moet worden voorzien in betaalbare geschilbeslechting voor EU-burgers en dat er meer transparantie moet zijn over de toegangsbevoegdheden van Amerikaanse veiligheidsdiensten.
2020: Schrems-II (Privacy Shield ongeldig)
Het Hof krijgt de vraag voorgelegd of het Privacy Shield een geldige grondslag biedt voor de gegevensuitwisseling. Op 16 juli 2020 spreekt het Hof zich niet alleen uit over het Privacy Shield maar ook over de gegevensuitwisseling naar derde landen in algemene zin. In alle gevallen moet sprake zijn van i) passende waarborgen, ii) afdwingbare rechten voor EU-burgers en iii) doeltreffende rechtsmiddelen voor EU-burgers. het Hof oordeelt dat bij het Privacy Shield niet aan de voorwaarden wordt voldaan en verklaart het Privacy Shield ongeldig (klik hier voor meer info over het Schrems-II arrest).
Poging 3: Data Privacy Framework
2022: Executive order
Op 25 maart 2022 hebben de EU en VS een principeakkoord gesloten. Met het principeakkoord werd de eerste steen gelegd voor een nieuwe regeling voor gegevensuitwisseling met de VS. Zowel de VS als de EU heeft (politiek) belang bij het op korte termijn eenvoudig uitwisselen van persoonsgegevens.
Op 7 oktober 2022 heeft president Biden een Executive Order ondertekend over "‘Enhancing Safeguards for United States Signals Intelligence Activities' (zie factsheet). Met de maatregelen in de Executive Order wordt getracht om de bestaande waarborgen te versterken en daarmee te voldoen aan de voorwaarden voor gegevensdoorgifte naar de VS. Er gaat in het bijzonder aandacht uit naar maatregelen die moeten voorzien in afdwingbare rechten en doeltreffende rechtsmiddelen voor EU-burgers. Dat is niet heel verrassend. Het Hof heeft immers in het Schrems-II arrest overwogen dat deze twee onderdelen ondermaats waren.
De VS heeft de eerste stap gezet en nu is de EU aan de beurt. De Europese Commissie beschrijft in haar persbericht meerdere stappen die doorlopen moeten worden. Interessant is dat de eerstvolgende stap bestaat uit het starten van een goedkeuringsprocedure voor een adequaatheidsbesluit. Dat zou betekenen dat de doorgifte in de toekomst op grond van het adequaatheidsbesluit kan plaatsvinden. Partijen hoeven dan geen modelcontracten/Standard Contractual Clauses te sluiten.
Voor nu is het afwachten hoe (snel) de goedkeuringsprocedure gaat verlopen. De procedure bestaat uit meerdere stappen die behoorlijk wat tijd in beslag kunnen nemen. Via deze blog houden we u op de hoogte over de ontwikkelingen op het gebied van internationale gegevensuitwisseling.
Heeft u vragen over internationale gegevensuitwisseling of andere privacygerelateerde onderwerpen? Neem dan gerust contact op met mij of het privacyteam.
