Doorgifte van persoonsgegevens naar de VS: binnenkort weer eenvoudig mogelijk?

Op 13 december 2022 heeft de Europese Commissie het concept adequaatheidsbesluit voor de veilige doorgifte van data vanuit de EU/EER naar de Verenigde Staten gepubliceerd. Kunnen persoonsgegevens tussen de Europese Unie en de Verenigde Staten binnenkort weer worden uitgewisseld op basis van een adequaatheidsbesluit?

Doorgifte van persoonsgegevens buiten de EU/EER

Voor de doorgifte van persoonsgegevens vanuit EU-landen naar landen buiten de EU/EER (“derde landen”) gelden speciale regels. In vier gevallen is het mogelijk om persoonsgegevens naar een derde land door te geven vanuit de EU. Eén van deze mogelijkheden is op basis van een zogenaamd adequaatheidsbesluit. De Europese Commissie heeft dan overwogen dat de nationale wetgeving in het desbetreffende derde land een passend niveau van gegevensbescherming biedt. Dit besluit kan vervolgens geldig zijn voor het hele land, maar ook alleen voor een bepaalde sector.

De Verenigde Staten

Tot 16 juli 2020 bestond er het Privacy Shield op basis waarvan er zonder meer doorgifte mogelijk was aan bedrijven in de Verenigde Staten. Op 16 juli 2020 is dit (oude) Privacy Shield door het Europese Hof van Justitie ongeldig verklaard, beter bekend als het Schrems II-arrest. Door middel van het Scherms I-arrest was de voorloper van het Privacy Shield, Safe Harbor, al ongeldig verklaard.

Het nieuwe concept adequaatheidsbesluit

Met dit nieuwe adequaatheidsbesluit doet de Europese Commissie een nieuwe poging om te komen tot een geldige doorgifte van persoonsgegevens naar de VS die voldoet aan de vereisten van de AVG. In het concept adequaatheidsbesluit beoordeelt de Europese Commissie het rechtskader van de Verenigde Staten. Dit rechtskader is eerder in 2022 aangepast als gevolg van het principe akkoord dat werd gesloten tussen Von der Leyen en president Biden. De conclusie van de Europese Commissie is dat het rechtskader van de Verenigde Staten vergelijkbare waarborgen biedt als het kader van de EU en dat de Verenigde Staten een voldoende passend beschermingsniveau biedt voor het doorgeven van persoonsgegevens vanuit de EU naar bedrijven in de Verenigde Staten.

Kern elementen

Om de doorgifte van persoonsgegevens mogelijk te maken, kunnen bedrijven in de Verenigde Staten zich aansluiten bij het EU-US Data Privacy Framework. Deze bedrijven verbinden zich dan aan een aantal privacy verplichtingen. Een voorbeeld hiervan is de verplichting om persoonsgegevens te wissen wanneer deze niet langer nodig zijn voor het doel waarvoor de persoonsgegevens waren verzameld. Daarnaast zullen EU-burgers over verschillende beroepsmogelijkheden beschikken indien hun persoonsgegevens in strijd met het EU-US Data Privacy Framework worden verwerkt.

Zodra het adequaatheidsbesluit definitief is vastgesteld, is het mogelijk om persoonsgegevens door te geven aan deelnemende bedrijven in de Verenigde Staten, zonder dat aanvullende waarborgen voor de bescherming van de persoonsgegevens noodzakelijk zijn – hetgeen nu vaak een struikelblok vormt voor de mogelijkheden tot doorgifte.

En hoe nu verder?

Het concept adequaatheidsbesluit wordt nu eerst voor advies aan de Europese privacy toezichthouder, de European Data Protection Board voorgelegd. Hierna zal de Europese Commissie goedkeuring vragen aan een comité van vertegenwoordigers van EU-lidstaten. Daarna moeten alle lidstaten van het Europees Parlement het concept adequaatheidsbesluit nog goedkeuren. Tot slot zal de Europese Commissie overgaan tot de vaststelling van het definitie adequaatheidsbesluit. Kortom, nog een lange weg te gaan en vervolgens is het nog de vraag hoe lang dit adequaatheidsbesluit in stand zal blijven (Schrems III)?

Vragen?

Bent u benieuwd wat dit concept adequaatheidsbesluit voor u kan betekenen? Of heeft u andere vragen over de internationale doorgifte van persoonsgegevens? Neem dan contact met een van ons op.