Trans-Atlantische datadeal
Eind maart 2022 is de Trans-Atlantische datadeal aangekondigd door Joe Biden en Ursula von der Leyen. De lang gehoopte opvolger van het Privacy Shield stond plotseling op de politieke agenda. Maar de strijd om datadoorgifte naar de VS is nog niet gestreden. Kunnen we ons echt weren tegen de datahonger van Amerikaanse veiligheidsdiensten?
Max Schrems
De Oostenrijkse privacy activist en grondlegger van de stichting None of Your Business (NOYB) was er ook als de kippen bij. Max zorgde er eerder voor dat het Safe Harbor en Privacy Shield privacy verdrag tussen de Europese Unie en de Verenigde Staten, door het Europese Hof van Justitie in 2015 en 2020, ongeldig werd verklaard. Hij voorspelt dat een definitief juridisch akkoord een traject van vele maanden zal zijn. Hij blijft echter sceptisch dat de nieuwste “oplossing” iets wezenlijk anders biedt. Hij noemde het zelfs “Putting Lipstick on a Pig”. Terwijl Safe Harbor 15 jaar standhield, duurde Privacy Shield slechts vier jaar. Max suggereert dat als er sprake is van nieuwe gebrekkige vervanging, een nieuwe aanklacht binnen enkele maanden na de definitieve beslissing bij het Europese Hof van Justitie zal liggen. De EU-wetgevers zijn gewaarschuwd.
European Data Protection Board
Het overkoepelende orgaan van alle Europese privacytoezichthouders – de EDPB - liet het er ook niet bij zitten. Op 6 april publiceerde zij een ‘Statement’ over de aankondiging van het nieuwe Trans-Atlantic Data Privacy Framework. De EDPB is ingenomen met de toezegging van de hoogste Amerikaanse autoriteiten om ‘ongekende’ maatregelen te nemen om de privacy en persoonlijke gegevens van personen in de Europese Economische Ruimte (EER) te beschermen wanneer hun gegevens naar de VS worden overgedragen. De EDPB zegt te moeten onderzoeken hoe dit politiek akkoord zich vertaalt in concrete wetgevingsvoorstellen om tegemoet te komen aan de zorgen van het Europese Hof van Justitie om voldoende rechtszekerheid te bieden. Men zal met name nagaan of een nieuwe autoriteit die deel uitmaakt van dit mechanisme bij de uitoefening van haar opdracht toegang heeft tot relevante informatie, met inbegrip van persoonsgegevens, en besluiten kan nemen die bindend zijn voor de inlichtingendiensten. Uiteindelijk zal de Europese Commissie, na advies van de EDPB, een nieuw adequaatheidsbesluit moeten vaststellen. Tenslotte schrijft de EDPB nadrukkelijk dat in dit stadium, deze vooraankondiging, géén wettelijk kader vormt waarop gegevensexporteurs hun gegevensoverdrachten naar de Verenigde Staten kunnen baseren.
Conclusie: verwerkingsverantwoordelijken kunnen niet vooruitlopen op dit akkoord en voor de export van gegevens naar de VS blijft het noodzakelijk een Data Transfer Impact Assessment uit te voeren.
Standard Contractual Clauses (SCC’s) en Data Transfer Impact Assessment (DTIA)
In afwachting op een goedkeuring van het Trans-Atlantic Data Privacy Framework zullen we, voor een doorgifte van persoonsgegevens naar de Verenigde Staten, gewoon verder moeten gaan met het gebruiken van de Standard Contractual Clauses. Deze modelcontracten, vernieuwd op 4 juni 2021, sluiten nauw aan bij de AVG, in die zin dat een aparte verwerkersovereenkomst niet meer nodig is. Echter is het alleen sluiten van een SCC is niet voldoende. Per doorgifte moet een risicoanalyse worden gedaan oftewel een Data Transfer Impact Assessment (DTIA). Deze bevat een omschrijving van de diensten die de organisatie in een derde land aanbiedt. En verder een overzicht van de passende waarborgen die worden getroffen en welke maatregelen zijn genomen om persoonsgegevens te beschermen, naast de SCC’s.
Een boel extra werk dus! Laten we hopen dat het Trans-Atlantic Privacy Framework binnen afzienbare tijd zijn goedkeuring krijgt. Tot die tijd helpen wij van PrivacyTeam u natuurlijk graag met een rechtmatige doorgifte van persoonsgegevens buiten de EER.