Iubenda logo
Aan de slag

Documentatie

Inhoud

Groen licht voor het Data Privacy Framework: Doorgifte van persoonsgegevens van EU naar VS nu goedgekeurd 

Op 10 juli 2023 heeft de Europese Commissie een belangrijke aankondiging gedaan door haar adequaatheidsbesluit over het EU-VS Data Privacy Framework (DPF). 

Dit besluit betekent dat de Verenigde Staten opnieuw worden erkend als een land dat zijn tegenhanger in de Europese Unie (EU) een passend beschermingsniveau biedt. Daardoor kunnen persoonsgegevens nu vrijelijk van de EU naar Amerikaanse zelfgecertificeerde bedrijven stromen zonder dat er extra waarborgen nodig zijn. 

Dit artikel gaat in op de details van de beslissing en belicht de belangrijkste herzieningen van het ongeldig verklaarde Privacy Shield.

  • Juli 2000: De Europese Commissie heeft het besluit genomen over de toereikendheid van de bescherming die wordt geboden door de Safe Harbour privacybeginselen.
  • Oktober 2015: Safe Harbour werd ongeldig verklaard nadat de eerste Schrems-beslissing was uitgevaardigd. 
  • Juli 2016: De Europese Commissie heeft het besluit genomen over de toereikendheid van de bescherming die wordt geboden door het EU-VS Privacy Shield.
  • Juli 2020: Het Hof van Justitie van de Europese Unie (HvJEU) verklaarde het EU-VS Privacy Shield onverenigbaar met AVG en daarom niet langer geldig
  • Maart 2022: President von der Leyen en president Biden hebben een principeakkoord bereikt over een nieuw trans-Atlantisch Data Privacy Framework.
  • Oktober 2022: President Joe Biden ondertekent Executive Order 14086 over het verbeteren van de waarborgen voor de signaleringsactiviteiten van de Amerikaanse inlichtingendienst.
  • December 2022: De Europese Commissie heeft haar ontwerpbesluit genomen over de adequaatheid van het EU-VS Data Privacy Framework.
  • Februari 2023: Het Europees Comité voor gegevensbescherming heeft zijn advies over het ontwerpbesluit inzake adequaatheid uitgebracht.
  • Mei 2023: Er is een niet-bindende resolutie van het Europees Parlement uitgebracht.
  • Juli 2023: Bijna alle vertegenwoordigers van de EU-lidstaten keurden het ontwerp-adequaatheidsbesluit goed.
  • Juli 2023: De Europese Commissie heeft formeel haar adequaatheidsbesluit vastgesteld over het EU-VS. Data Privacy Framework.

EU-VS Data Privacy Framework

Het EU-VS DPF is een cruciale stap om het vertrouwen in trans-Atlantische gegevensoverdrachten te herstellen. 

Na het Schrems II arrest van het HvJEU werd het vorige Privacy Shield raamwerk ongeldig verklaard vanwege zorgen over de toegang tot gegevens door Amerikaanse inlichtingendiensten. 

Het nieuwe kader komt aan deze zorgen tegemoet door middel van een aantal opmerkelijke herzieningen:

1. Noodzakelijke en proportionele toegang tot gegevens

Onder het DPF EU-VS is de toegang tot gegevens door Amerikaanse inlichtingendiensten nu beperkt tot wat “noodzakelijk en proportioneel” wordt geacht.

Deze bepaling zorgt ervoor dat de overdracht van gegevens voldoet aan strenge privacynormen, terwijl legitieme nationale veiligheidsbelangen hierbij worden afgewogen.

2. Verhaalmechanisme in twee lagen

Om de verantwoordingsplicht te vergroten en de rechten van EU-burgers te beschermen, is er een nieuw tweelaags verhaalmechanisme ingesteld.

  1. De eerste laag bestaat uit een functionaris voor de bescherming van de burgerlijke vrijheden (Civil Liberties Protection Officer – CLPO) van de Amerikaanse inlichtingendienst, die onafhankelijk en objectief klachten onderzoekt die door personen uit de EU gratis en in hun eigen taal rechtstreeks worden ingediend bij de gegevensbeschermingsautoriteiten van hun land. Deze klachten worden vervolgens door het Europees Comité voor gegevensbescherming doorgestuurd naar de VS.
  2. De tweede laag bestaat uit het Data Protection Review Court (DPRC), dat optreedt als een onafhankelijke en bindende autoriteit. Het DPRC behandelt beroepen tegen beslissingen van het CLPO. Belangrijk is dat de leden van het DPRC over specifieke kwalificaties beschikken en buiten de invloed of instructies van de Amerikaanse regering opereren, waardoor onpartijdigheid en eerlijkheid gewaarborgd zijn.

3. Rechten voor personen in de EU

Het adequaatheidsbesluit geeft personen in de EU van wie gegevens zijn overgedragen aan zelfgecertificeerde Amerikaanse bedrijven een aantal belangrijke rechten. Deze rechten omvatten de mogelijkheid om:

  1. hun gegevens in te zien;
  2. correcties aan te vragen; 
  3. onjuiste of onrechtmatig verwerkte gegevens te verwijderen, en 
  4. toegang tot rechtsmiddelen via een gratis onafhankelijk mechanisme voor geschillenbeslechting en een arbitragepanel.

4. Bredere toepasbaarheid en waarborgen

De waarborgen die de overheid van de VS biedt binnen het DPF EU-VS gaan verder dan gegevens die via dit specifieke kader worden overgedragen. Ze zijn ook van toepassing op gegevens die via andere mechanismen worden overgedragen, zoals:

  • standaardcontractbepalingen; of 
  • Bindende bedrijfsvoorschriften 

Deze bredere toepassing zorgt voor een consistent niveau van gegevensbescherming voor personen in de EU, ongeacht het specifieke doorgiftemechanisme dat wordt gebruikt.

5. Periodieke beoordelingen en voortdurende controle op naleving

Om ervoor te zorgen dat het DPF EU-VS voortdurend wordt nageleefd en doeltreffend blijft, zal het periodiek worden geëvalueerd. 

De eerste herziening is gepland binnen een jaar na de inwerkingtreding van het kader. De Europese Commissie zal de relevante ontwikkelingen in de VS voortdurend volgen om ervoor te zorgen dat de vastgestelde waarborgen worden gehandhaafd.

Wat moet je nu doen? 

Op dit moment is er geen onmiddellijke actie nodig. We moeten wachten tot Amerikaanse bedrijven het zelfcertificeringsproces hebben voltooid voordat de gegevensstromen kunnen beginnen.

De goedkeuring van het EU-VS Data Privacy Framework door de Europese Commissie is een belangrijke mijlpaal op het gebied van trans-Atlantische gegevensbescherming. Nu het adequaatheidsbesluit van kracht is, kan de stroom van persoonsgegevens van de EU naar Amerikaanse bedrijven zonder extra waarborgen worden hervat, mits ze deelnemen aan het DPF EU-VS. 

Gebruik je Google Analytics of andere hieronder vallende diensten? Vergeet niet om ze op te nemen in je privacybeleid.

Update je privacyverklaring