In 2020 heeft het Hof van Justitie van de Europese Unie (HvJEU) het Privacy Shield ongeldig verklaard. De VS zou volgens het HvJEU onvoldoende bescherming bieden aan persoonsgegevens die vanuit de EU zijn doorgegeven. Onlangs werd aangekondigd dat de EU en VS een principeakkoord hebben gesloten over een vervanger van het Privacy Shield: het Trans-Atlantic Data Privacy Framework.
Doorgifte buiten de EU
Op grond van de AVG is doorgifte van persoonsgegevens naar een land buiten de EU alleen toegestaan als het betreffende derde land een passend beschermingsniveau biedt. Als dat het geval is, kan de Europese Commissie een adequaatheidsbesluit nemen. Daarmee stelt de Commissie vast dat het derde land een beschermingsniveau biedt dat vergelijkbaar is aan de AVG. Het adequaatheidsbesluit kan vervolgens dienen als basis voor de doorgifte van persoonsgegevens naar het betreffende derde land.
Privacy Shield ongeldig
De Europese Commissie heeft in het verleden voor de VS ook een dergelijk besluit vastgesteld: het EU-VS Privacy Shield. Dat besluit is door het Hof van Justitie van de Europese Unie (HvJEU) in 2020 ongeldig verklaard (zie onze eerdere blog voor een uitgebreid overzicht). De voorganger van het Privacy Shield, Safe Harbor, trof in 2015 hetzelfde lot. Volgens het HvJEU bood de VS onvoldoende bescherming aan persoonsgegevens afkomstig uit de EU. Het HvJEU oordeelde in dat kader onder meer dat Amerikaanse veiligheidsdiensten te ruime toegang hebben tot persoonsgegevens. Bovendien kunnen EU-burgers niet (effectief) optreden tegen privacy inbreuken in de VS, aldus het Hof.
Impact op bedrijven
Vanaf dat moment konden EU organisaties het Privacy Shield niet meer gebruiken als basis voor gegevensdoorgifte naar de VS. Die doorgifte zelf kon nog wel plaatsvinden, bijvoorbeeld middels het gebruik van standard contractual clauses (modelcontracten). Dergelijke contracten roepen een verplichting voor de gegevensexporteur en importeur in het leven om na te gaan of gaan of het beschermingsniveau dat aan het contract ten grondslag ligt daadwerkelijk gehandhaafd kan worden in het derde land. Als dat niet het geval is, moet de importeur de exporteur daarvan op de hoogte stellen. De exporteur moet de doorgifte dan opschorten en/of de overeenkomst met de importeur beëindigen.
Doorgifte op basis van modelcontracten vergt dan ook per geval een beoordeling van het geboden beschermingsniveau in het derde land. Die beoordeling leidt tot vertraging van de doorgifte, en maakt uitwisseling soms onmogelijk. De ongeldigverklaring van het Privacy Shield bracht dan ook grote gevolgen voor Europese en Amerikaanse bedrijven met zich mee. Ook voor bedrijven zoals Facebook en Google, wier verdienmodel gebaseerd is op gegevensverwerking, is de impact enorm.
Privacy Shield 2.0 (?)
Onder meer gelet op het belang van gegevensuitwisseling voor de internationale handel, onderhandelen de EU en VS al langere tijd over een opvolger van het Privacy Shield. Op 25 maart 2022 kondigden Von der Leyen en Biden een principeakkoord aan voor het Trans-Atlantic Data Privacy Framework.
Het akkoord bestaat uit een set sleutelprincipes. Zo heeft de VS toegezegd de toegang tot persoonsgegevens door inlichtingendiensten te beperken tot wat noodzakelijk en proportioneel is voor het beschermen van de nationale veiligheid. In dat kader is ook een “two-tier redress system” overeengekomen: EU-burgers kunnen klachten omtrent toegang tot gegevens door inlichtingendiensten indienen. Aan bedrijven die data uit de EU willen verwerken zullen volgens het akkoord strenge eisen worden gesteld. Ten slotte zullen toezichts- en evaluatiemechanismen worden ingericht om de naleving en effectiviteit van de afspraken te waarborgen.
De precieze invulling van deze afspraken is nog niet bekend, op dit moment ligt er nog slechts een politieke aankondiging van het akkoord. Die invulling zal waarschijnlijk ook nog enige tijd op zich laten wachten. Eerst zijn nog aanpassingen in (Amerikaanse) wetgeving nodig.
Tot die tijd moeten organisaties die gegevens willen uitwisselen met de VS zich dan ook nog baseren op een andere grondslag voor doorgifte.