Op 25 maart 2022 kondigt de Europese Commissie aan dat er een principeakkoord is gesloten voor gegevensuitwisseling tussen Europa en de VS. Hiermee zou een veilige doorgifte van gegevensstromen tussen Europa en de Verenigde Staten mogelijk moeten worden gemaakt.
Aan het principeakkoord gaat inmiddels al de nodige discussie vooraf.
Schrems I en Schrems II
De doorgifte van persoonsgegevens van Europa naar een land buiten Europa is alleen toegestaan wanneer dat land een passend beschermingsniveau biedt ter waarborging van het recht op privacy van Europese burgers. Ondanks dat het beschermingsniveau van persoonsgegevens in de Verenigde Staten naar het oordeel van de Europese Commissie niet voldoende was, werd doorgifte van persoonsgegevens naar de Verenigde Staten toegestaan aan organisaties uit de Verenigde Staten die zich verbonden aan de ‘Safe Harbour Privacy Principles’. In 2015 concludeert het Hof van Justitie van de Europese Unie (onder andere) dat het Safe Harbour-regime niet voorziet in een criterium ter beperking van de toegang van Amerikaanse autoriteiten. Het Safe Harbour-regime wordt ongeldig verklaard in de zogeheten Schrems I-uitspraak.
Het Safe Harbour-regime wordt opgevolgd door het Privacy Shield. In 2020 wordt ook dit regime van doorgifte van persoonsgegevens van Europa naar de Verenigde Staten ongeldig verklaard, omdat het vereiste passende beschermingsniveau niet wordt gewaarborgd (Schrems II). Hier was wederom van belang dat Amerikaanse veiligheidsdiensten in beginsel gemakkelijk toegang kunnen krijgen (op basis van verschillende surveillance wetgeving) tot persoonsgegevens van Europese burgers.
Fundamentele verschillen
De kern van het probleem van gegevensuitwisseling tussen Europa en de Verenigde Staten is gelegen in de fundamentele verschillen tussen Europa en de Verenigde Staten op het gebeid van privacy, welke verschillen in Schrems I en Schrems II overduidelijk naar voren kwamen.
Daar waar in Europa absolute bescherming van persoonsgegevens van burgers wordt nagestreefd, bestaan er in de Verenigde Staten wetten op grond waarvan Amerikaanse inlichtingendiensten en de National Security Agency altijd toegang kunnen krijgen tot bijna alle Europese persoonsgegevens die worden verwerkt door Amerikaanse bedrijven.
Sinds Schrems II bestaat er nog altijd veel onduidelijkheid over (de juiste grond voor) gegevensuitwisseling tussen Europa en de Verenigde staten. Al lange tijd onderhandelen Europa en de Verenigde Staten over een nieuwe basis voor doorgifte van persoonsgegevens. De aankondiging van het principeakkoord voor gegevensuitwisseling tussen Europa en de Verenigde Staten is het startsein voor nieuwe ontwikkelingen. De Europese privacytoezichthouders (verenigd in de European Date Protection Board ‘EDPB’) vinden het een goede eerste stap dat de Europese Commissie en de Verenigde Staten nieuwe afspraken willen maken over de doorgifte van persoonsgegevens vanuit de Europese Unie (EU) naar de VS maar merken uitdrukkelijk op dat er nog geen akkoord is. Voordat een finale versie wordt gepresenteerd, moet eerst goedkeuring van de Europese Data Protection Board worden verkregen en dient er voldoende politieke steun vanuit het Europees Parlement te zijn. Een definitief akkoord laat naar verwachting zeker nog tot het einde van dit jaar op zich wachten.
Het Privacy Shield 2.0
Tot op heden is nog niet (volledig) duidelijk wat dit ‘Privacy Shield 2.0’ daadwerkelijk inhoudt. Wat wij wél weten is het volgende:
- persoonsgegevens van Europese burgers mogen alleen worden verzameld wanneer dat “nodig is om legitieme nationale veiligheidsdoelstellingen te verwezenlijken”, en het verzamelen “mag geen onevenredige impact hebben op de bescherming van de persoonlijke levenssfeer en burgerlijke vrijheden”;
- er wordt een onafhankelijk ‘Data Protection Review Court’ opgericht voor klachten van Europese burgers;
- Amerikaanse inlichtingendiensten worden verplicht procedures aan te nemen ter bescherming van privacy en burgerlijke vrijheden;
- de werking van het oude Privacy Shield houdt stand: Amerikaanse bedrijven melden zich aan bij de Amerikaanse overheid. Indien betreffend bedrijf aan een aantal minimumvereisten voldoet, komt het op de lijst van erkende bedrijven te staan en mag dit Amerikaanse bedrijf Europese persoonsgegevens verwerken. De Amerikaanse overheid fungeert in dezen als toezichthouder.
Kritiek
Hoewel enerzijds een stap in de goede richting lijkt te zijn gezet, overheerst ook scepticisme. De meest gehoorde kritiek is dat de tekortkomingen in het Privacy Shield die hebben geleid tot Schrems II niet fundamenteel zijn weggenomen - althans lijken te zijn weggenomen - in het principeakkoord. Daarnaast wordt geen enkele wijziging in de Amerikaanse wetgeving voorgesteld, terwijl dat juist de kern van het probleem was in Schrems I en Schrems II.
Max Schrems, eiser in de eerdere geschillen, uit zijn stevige kritiek op het principeakkoord en geeft aan ook nu de weg naar de rechter weer te weten.
Waarom is het principeakkoord voor u van belang?
Veel ondernemingen geven (onbewust) persoonsgegevens door aan organisaties in de Verenigde Staten omdat ze gebruik van applicaties van Amerikaanse bedrijven (bijv. Microsoft). Op dit moment bestaat daar echter geen eenduidige grond voor (veelal wordt terug gevallen op de Standard Contractual Clauses ‘SSC’ van de Europese Commissie), waardoor de doorgifte strijdig kan zijn met de Algemene Verordening Gegevensbescherming (AVG) en belangrijke rechten van betrokkenen worden geschonden. Dit probleem werd eens te meer benadrukt in de recente uitspraak inzake Google Analytics, waarover wij onlangs een blog schreven.
Hoewel een stap in de goede richting lijkt te zijn gezet, is het laatste woord over de doorgifte van persoonsgegevens naar de Verenigde Staten nog niet gezegd. Wij houden u uiteraard op de hoogte van de ontwikkelingen!
Heeft u vragen over de doorgifte van persoonsgegevens naar de Verenigde Staten? Neem dan contact op met Sophie Slijkhuis via sophie.slijkhuis@vdb-law.nl. Wij helpen u graag!