Op 7 oktober ondertekende president Biden een uitvoerend bevel over ‘Enhancing Safeguards for United States Signals Intelligence Activities’. Samen met de verordeningen die zijn uitgevaardigd door de procureur-generaal, implementeert de Executive Order de in maart aangekondigde principiële overeenkomst in de Amerikaanse wetgeving. Het Executive Order introduceert nieuwe bindende waarborgen om alle door het Hof van Justitie van de EU aan de orde gestelde punten aan te pakken, de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten te beperken en een Data Protection Review Court in te stellen.
Op basis daarvan zal de Europese Commissie nu een ontwerp-adequaatheidsbesluit opstellen en haar goedkeuringsprocedure starten.
Waar gaat de nieuwe Executive Order over?
Het op 7 oktober door president Biden ondertekende Executive Order, evenals de bijbehorende verordeningen, geven uitvoering aan de toezeggingen die de VS hebben gedaan in de in maart aangekondigde principeovereenkomst.
Voor Europeanen van wie persoonsgegevens naar de VS worden overgedragen, voorziet de nieuwe Executive Order in:
Bindende waarborgen die de toegang tot gegevens door Amerikaanse inlichtingendiensten beperken tot wat nodig en evenredig is om de nationale veiligheid te beschermen;
De oprichting van een onafhankelijk en onpartijdig verhaalmechanisme, met inbegrip van een nieuwe Data Protection Review Court („DPRC”); om klachten over de toegang tot hun gegevens door de Amerikaanse nationale veiligheidsautoriteiten te onderzoeken en op te lossen;
De Executive Order vereist dat de Amerikaanse inlichtingendiensten hun beleid en procedures herzien om deze nieuwe waarborgen te implementeren.
Dit zijn aanzienlijke verbeteringen ten opzichte van het Privacy Shield. De nieuwe waarborgen op het gebied van toegang van de overheid tot gegevens zullen een aanvulling vormen op de verplichtingen die Amerikaanse bedrijven die gegevens uit de EU importeren zullen moeten nakomen.
Wat zijn de volgende stappen in het proces?
Met de goedkeuring van het uitvoeringsbesluit en de bijbehorende verordeningen kan de Commissie nu overgaan tot de volgende stappen, waaronder het voorstellen van een ontwerp-adequaatheidsbesluit en het starten van de goedkeuringsprocedure.
De goedkeuringsprocedure voor een adequaatheidsbesluit bestaat uit verschillende stappen: het verkrijgen van een advies van de European Data Protection Board (EDPB) en het groen licht van een commissie bestaande uit vertegenwoordigers van de EU-lidstaten. Bovendien heeft het Europees Parlement het recht van toetsing over adequaatheidsbesluiten.
Pas daarna kan de Europese Commissie het definitieve adequaatheidsbesluit met betrekking tot de VS nemen. Vanaf dat moment zullen gegevens vrij en veilig kunnen stromen tussen de EU- en Amerikaanse bedrijven die zijn gecertificeerd door het ministerie van Handel onder het nieuwe kader. Amerikaanse bedrijven zullen zich bij het raamwerk kunnen aansluiten door zich te verplichten tot naleving van een gedetailleerde reeks privacyverplichtingen.
In welk opzicht verschilt het nieuwe verhaalmechanisme van de vorige privacyschildombudsman?
Het nieuwe uitvoeringsbesluit, samen met de bijbehorende verordeningen, stelt een nieuw tweelagig verhaalmechanisme in, met onafhankelijke en bindende bevoegdheid.
Onder de eerste laag zullen EU-burgers een klacht kunnen indienen bij de zogenaamde ‘Civil Liberties Protection Officer’ van de Amerikaanse inlichtingengemeenschap. Deze persoon is verantwoordelijk voor de naleving door Amerikaanse inlichtingendiensten van privacy en fundamentele rechten.
Op het tweede niveau hebben individuen de mogelijkheid om tegen de beslissing van de Civil Liberties Protection Officer in beroep te gaan bij de nieuw opgerichte Data Protection Review Court. Het Hof zal worden samengesteld uit leden die van buiten de Amerikaanse regering worden gekozen, worden benoemd op basis van specifieke kwalificaties en kunnen alleen worden ontslagen om ernstige redenen (zoals veroordeling voor een misdrijf, of geestelijk of lichamelijk ongeschikt worden geacht om de taken uit te voeren) en geen instructies van de overheid kunnen krijgen. De Data Protection Review Court zal bevoegd zijn om klachten van EU-burgers te onderzoeken, onder meer om relevante informatie van inlichtingendiensten te verkrijgen, en zal bindende corrigerende beslissingen kunnen nemen. Als de DPRC bijvoorbeeld zou vaststellen dat gegevens zijn verzameld in strijd met de waarborgen van het uitvoeringsbesluit, kan het de verwijdering van de gegevens gelasten.
Om de toetsing door de Rekenkamer verder te verbeteren, zal de Rekenkamer in elk geval een speciale advocaat met relevante ervaring selecteren om de Rekenkamer bij te staan, die ervoor zal zorgen dat de belangen van de klager voor de Rekenkamer worden behartigd en dat de Rekenkamer goed op de hoogte is van de feitelijke en juridische aspecten van de zaak. Dit zorgt ervoor dat beide partijen vertegenwoordigd zijn en introduceert meer garanties op het gebied van een eerlijk proces, verhaal en een eerlijk proces.
Dit zijn aanzienlijke verbeteringen ten opzichte van het mechanisme dat bestond onder het privacyschild. In die tijd konden individuen zich wenden tot een ombudspersoon, die deel uitmaakte van het Amerikaanse ministerie van Buitenlandse Zaken en niet over vergelijkbare onderzoeks- of bindende beslissingsbevoegdheden beschikte.
Waarom denkt de Commissie dat het Hof van Justitie van de EU de overeenkomst niet opnieuw zal vernietigen?
Het doel van de Commissie bij deze onderhandelingen was om de bezorgdheid weg te nemen: s aan de orde gesteld door het Hof van Justitie van de EU in het Schrems II-arrest en een duurzame en betrouwbare rechtsgrondslag bieden voor trans-Atlantische gegevensstromen. Dit komt tot uiting in de waarborgen die zijn opgenomen in het Executive Order, zowel wat betreft de inhoudelijke beperking van de toegang van de Amerikaanse nationale veiligheidsautoriteiten tot gegevens (noodzaak en evenredigheid) als de instelling van het nieuwe verhaalmechanisme.
Wat zijn de mogelijkheden voor bedrijven in de tussentijd?
Het is belangrijk om te onthouden dat een adequaatheidsbesluit niet het enige instrument is voor internationale overmakingen.
Modelclausules, die bedrijven in hun commerciële contracten kunnen opnemen, zijn het meest gebruikte mechanisme om gegevens uit de EU over te dragen. Vorig jaar heeft de Commissie gemoderniseerde ‘standaardcontractbepalingen’ aangenomen om het gebruik ervan te vergemakkelijken, onder meer in het licht van de eisen die het Hof van Justitie heeft gesteld in het Schrems II-arrest. Er is ook praktische begeleiding beschikbaar voor bedrijven die vertrouwen op standaardcontractbepalingen voor het overdragen van gegevens.
Alle waarborgen die de Commissie met de Amerikaanse regering is overeengekomen op het gebied van nationale veiligheid (inclusief het verhaalmechanisme) zullen beschikbaar zijn voor alle overdrachten naar de VS onder de AVG, ongeacht het gebruikte overdrachtsinstrument.