Deze week heeft de Europese Commissie haar adequaatheidsbesluit voor het EU-VS-privacyschild goedgekeurd. Kader voor gegevensprivacy. In het besluit wordt geconcludeerd dat de Verenigde Staten een passend beschermingsniveau waarborgen – vergelijkbaar met dat van de Europese Unie – voor persoonsgegevens die vanuit de EU worden doorgegeven aan Amerikaanse bedrijven in het kader van het nieuwe kader. Op basis van het nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig van de EU naar Amerikaanse bedrijven die deelnemen aan het kader stromen, zonder dat er aanvullende waarborgen voor gegevensbescherming moeten worden ingevoerd.
De EU-VS Het raamwerk voor gegevensprivacy introduceert nieuwe bindende waarborgen om tegemoet te komen aan alle zorgen van het Europese Hof van Justitie, waaronder het beperken van de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten tot wat nodig en evenredig is, en het instellen van een Data Protection Review Court (DPRC), waaraan EU-burgers krijgen toegang. Het nieuwe raamwerk introduceert aanzienlijke verbeteringen ten opzichte van het mechanisme dat bestond onder het Privacy Shield. Als de DPRC bijvoorbeeld constateert dat gegevens zijn verzameld in strijd met de nieuwe waarborgen, kan het de verwijdering van de gegevens gelasten. De nieuwe waarborgen op het gebied van overheidstoegang tot gegevens vormen een aanvulling op de verplichtingen die Amerikaanse bedrijven die gegevens uit de EU importeren, zullen moeten onderschrijven.
Voorzitter Ursula von der Leyen zei: “De nieuwe EU-VS-overeenkomst Het kader voor gegevensprivacy zal zorgen voor veilige gegevensstromen voor Europeanen en rechtszekerheid bieden aan bedrijven aan beide zijden van de Atlantische Oceaan. Na het principeakkoord dat ik vorig jaar met president Biden heb bereikt, hebben de VS ongekende toezeggingen gedaan om het nieuwe kader vast te stellen. Vandaag zetten we een belangrijke stap om burgers het vertrouwen te geven dat hun gegevens veilig zijn, om onze economische banden tussen de EU en de VS te verdiepen en tegelijkertijd onze gedeelde waarden opnieuw te bevestigen. Het laat zien dat we door samen te werken de meest complexe vraagstukken kunnen aanpakken.”
Amerikaanse bedrijven kunnen toetreden tot het EU-VS-verdrag. Kader voor gegevensprivacy door zich te verbinden tot naleving van een gedetailleerde reeks privacyverplichtingen, bijvoorbeeld de vereiste om persoonsgegevens te verwijderen wanneer deze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, en om continuïteit van bescherming te waarborgen wanneer persoonsgegevens worden gedeeld met derden.
Individuen uit de EU zullen profiteren van verschillende mogelijkheden om verhaal te halen in het geval hun gegevens verkeerd worden behandeld door Amerikaanse bedrijven. Dit omvat gratis onafhankelijke mechanismen voor geschillenbeslechting en een arbitragepanel.
Bovendien voorziet het Amerikaanse rechtskader in een aantal waarborgen met betrekking tot de toegang tot gegevens die in het kader van het rechtskader door Amerikaanse overheidsinstanties worden overgedragen, met name voor strafrechtelijke rechtshandhaving en nationale veiligheidsdoeleinden. Toegang tot gegevens is beperkt tot wat nodig en proportioneel is om de nationale veiligheid te beschermen.
EU-burgers krijgen toegang tot een onafhankelijk en onpartijdig verhaalmechanisme met betrekking tot het verzamelen en gebruiken van hun gegevens door Amerikaanse inlichtingendiensten, waaronder een nieuw opgerichte Data Protection Review Court (DPRC). Het Hof zal klachten onafhankelijk onderzoeken en oplossen, onder meer door bindende corrigerende maatregelen vast te stellen.
De waarborgen die door de VS zijn ingevoerd, zullen ook meer in het algemeen transatlantische gegevensstromen vergemakkelijken, aangezien ze ook van toepassing zijn wanneer gegevens worden overgedragen met behulp van andere instrumenten, zoals standaardcontractbepalingen en bindende bedrijfsregels.
Volgende stappen
De werking van de EU-VS Het kader voor gegevensprivacy zal worden onderworpen aan periodieke evaluaties, uit te voeren door de Europese Commissie, samen met vertegenwoordigers van de Europese gegevensbeschermingsautoriteiten en de bevoegde Amerikaanse autoriteiten.
De eerste toetsing vindt plaats binnen een jaar na de inwerkingtreding van het adequaatheidsbesluit, om na te gaan of alle relevante elementen volledig zijn geïmplementeerd in het Amerikaanse rechtskader en in de praktijk effectief functioneren.
Achtergrond
Artikel 45, lid 3, van de algemene verordening gegevensbescherming (AVG) verleent de Commissie de bevoegdheid om door middel van een uitvoeringshandeling te besluiten dat een niet-EU-land zorgt voor “een passend beschermingsniveau” – een beschermingsniveau voor gegevens die in wezen gelijkwaardig zijn aan het beschermingsniveau binnen de EU. Het effect van adequaatheidsbesluiten is dat persoonsgegevens vrijelijk vanuit de EU (en Noorwegen, Liechtenstein en IJsland) naar een derde land kunnen stromen zonder verdere belemmeringen.
Na de ongeldigverklaring van het eerdere adequaatheidsbesluit over het EU-U.S. Privacy Shield van het Hof van Justitie van de EU, de Europese Commissie en de Amerikaanse regering zijn in gesprek gegaan over een nieuw raamwerk dat de door het Hof aan de orde gestelde kwesties aanpakt.
In maart 2022 kondigden president Von der Leyen en president Biden aan dat ze een principeakkoord hadden bereikt over een nieuw kader voor transatlantische gegevensstromen, na onderhandelingen tussen commissaris Reynders en de Amerikaanse minister Raimondo. In oktober 2022 ondertekende president Biden een uitvoerend bevel over ‘Enhancing Safeguards for United States Signals Intelligence Activity’s’, dat werd aangevuld met voorschriften van de Amerikaanse procureur-generaal Garland. Samen hebben deze twee instrumenten de toezeggingen van de VS die zijn bereikt in het kader van het beginselakkoord omgezet in Amerikaans recht, en een aanvulling gevormd op de verplichtingen voor Amerikaanse bedrijven in het kader van het EU-VS-verdrag. Kader voor gegevensprivacy.
Een essentieel onderdeel van het Amerikaanse rechtskader waarin deze waarborgen zijn verankerd, is het Amerikaanse uitvoeringsbesluit inzake “Enhancing Safeguards for United States Signals Intelligence Activities”, waarin tegemoet wordt gekomen aan de zorgen die het Hof van Justitie van de Europese Unie in zijn Schrems II-besluit van juli 2020 heeft geuit .
Het Framework wordt beheerd en gecontroleerd door het Amerikaanse Ministerie van Handel. De Amerikaanse Federal Trade Commission zal de naleving door Amerikaanse bedrijven afdwingen.
Voor meer informatie
Adequacy decision on the EU-US Data Privacy Framework
Questions and Answers : EU – US Data Privacy Framework
Factsheet – Transatlantic Data Privacy Framework
EU-US data transfers (europa.eu)
International dimension of data protection (europa.eu)
Adequacy decisions (europa.eu)
Joint Statement on Trans-Atlantic Data Privacy Framework (europa.eu)