Het EU-US Data Privacy Framework: een nieuw tijdperk?

Het moment is daar, sinds het recente adequaatheidsbesluit van 10 juli: een veilige uitwisseling van persoonsgegevens tussen de Europese Unie en de Verenigde Staten. Natuurlijk onder bepaalde strikte voorwaarden, die we je in dit artikel graag uitleggen. Want wat betekent deze ontwikkeling eigenlijk voor jou en je organisatie?

Wat is dat adequaatheidsbesluit eigenlijk?

Laten we de basis uitleggen. Een adequaatheidsbesluit is een instrument waarmee persoonsgegevens van de EER naar derde landen kunnen worden doorgegeven. Deze derde landen hebben volgens de Europese Commissie een vergelijkbaar niveau van bescherming van persoonsgegevens als dat van de EER. Doorgifte naar een derde land kan dus op dezelfde manier worden behandeld als een doorgiften binnen de EER én met dezelfde mate van vertrouwen in het borgen van de veiligheid van deze gegevens.

Het besluit zelf

Over naar het belangrijke nieuws dus: de Europese Commissie heeft geconcludeerd dat de Verenigde Staten een passend beschermingsniveau bieden voor persoonsgegevens die vanuit de EER naar de VS worden overgedragen. Ze vergelijken dit beschermingsniveau met dat van de Algemene Verordening Gegevensbescherming (AVG). Een belangrijke conclusie, die organisaties mogelijk praktische voordelen biedt (want bijvoorbeeld een eenvoudiger opzet en inzet van third party software), maar er zijn natuurlijk wel een aantal belangrijke bindende voorwaarden.

Nieuwe bindende voorwaarden

Door het adequaatheidsbesluit worden er nieuwe bindende voorwaarden geïntroduceerd. Amerikaanse bedrijven kunnen zich nu aansluiten bij het EU-US Data Privacy Framework om uitwisseling juridisch mogelijk te maken. Voor toelating moeten deze organisaties zich aantoonbaar houden aan een aantal specifieke privacyverplichtingen:

• Transparantie: Organisaties moeten hun klanten en partners op de hoogte brengen van hun naleving van het Data Privacy Framework.

• Beperken: De persoonsgegevens moeten worden beperkt tot de informatie die relevant is voor de doeleinden van de verwerking.

• Beschermen: Organisaties moeten redelijke maatregelen nemen om de gegevens te beschermen

• Controle teruggeven: Mensen moeten de controle hebben over wat er met hun persoonsgegevens gebeurt. Ze moeten kunnen beslissen of hun gegevens aan derden worden doorgegeven of voor andere doeleinden worden gebruikt.

• Duidelijke voorwaarden: Als persoonsgegevens naar een derde partij gaan moet er een duidelijke aanleiding zijn, zoals het afsluiten van een contract.

Even terug naar het verleden. Herinner je je het Privacy Shield nog? Het voldeed niet helemaal aan de verwachtingen. Een van de grootste zorgen was de toegang van Amerikaanse overheidsinstanties tot onze gegevens. Maar met het EU-US Data Privacy Framework is de toegang tot gegevens beperkt tot wat strikt noodzakelijk is om de nationale veiligheid te waarborgen. Het Privacyshield is daarmee komen te vervallen en dat is een flinke inhoudelijke verbetering.

En als er toch iets misgaat? Je kunt dan een klacht indienen bij de nationale gegevensbeschermingsautoriteit. In Nederland is dat de welbekende Autoriteit Persoonsgegevens. Zij zullen ervoor zorgen dat je klacht wordt doorgestuurd naar de Verenigde Staten. 

Kan de vlag uit?

Sommigen beweren dat de waarborgen in het Data Privacy Framework niet wezenlijk verschillen van die van het Privacy Shield. Het valt op dit moment moeilijk vast te stellen of dat in de praktijk ook echt zo is. De tijd zal moeten uitwijzen of dit EU-US Data Privacy Framework een rechterlijke toetsing kan doorstaan.

Wat betekent dit voor jouw organisatie?

Mooie ontwikkelingen allemaal, maar wat betekent het voor jouw organisatie? We sommen de belangrijkste aandachtspunten voor je op:

• Persoonsgegevens mogen alleen worden gedeeld met Amerikaanse bedrijven die zijn aangesloten bij het Data Privacy Framework en in het register van het Framework staan. Amerikaanse organisaties kunnen zich gemakkelijk aansluiten door zelf-certificering.

• Als een Amerikaanse organisatie deel uitmaakt van het Data Privacy Framework, heb je geen Standard Contractual Clauses nodig. Dat betekent geen noodzaak voor een Transfer Impact Assessment (DTIA) meer.

• Als een Amerikaanse organisatie niet is aangesloten bij het Data Privacy Framework, moet je andere mechanismen gebruiken, zoals Standard Contractual Clauses en dus, alsnog, een DTIA uitvoeren.