Data delen met VS weer toegestaan

De Europese Commissie heeft nieuwe EU-wetgeving vastgelegd die de overdracht van Europese persoonsgegevens aan de Verenigde Staten volgens haar veilig maakt. Het is de derde poging om tot sluitende wetgeving te komen voor dergelijke doorgifte van data. De aanvankelijke Safe Harbor-overeenkomst is juridisch onhoudbaar gebleken en opvolger Privacy Shield is door het Europese Hof van Justitie in 2020 afgeschoten. Het nu door de EC omarmde EU-US Data Privacy Framework zou wel houdbaar zijn.

Bindende voorwaarden voor inlichtingendiensten

De veiligheid van deze nieuwste regelgeving voor Europees-Amerikaanse data-uitwisseling moet gegarandeerd worden door bindende voorwaarden die daarin zijn opgenomen over de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten. Die toegang wordt beperkt tot ‘wat noodzakelijk en evenredig is’, stelt het dagelijkse EU-bestuur. Het struikelpunt was bij de twee voorgangers de omgangsmogelijkheden van de Amerikaanse overheid - en dan specifiek diens inlichtingendiensten - om data te vorderen. Dat zou dan schendingen van Europese privacybescherming inhouden, waardoor strikt genomen Europees gebruik van Amerikaanse datadiensten zoals cloudopslag en SaaS-oplossingen (Software-as-a-Service) niet meer zou mogen.

Derde poging om data-uitwisseling mogelijk te maken

Het zogeheten 'adequaatheidsbesluit' dat nu is genomen voor het EU-US Data Privacy Framework, moet de status quo van ICT- en cloudgebruik weer juridisch op orde maken. Dit is dus de derde keer dat Brussel de uitwisseling van data tussen de VS en de EU juridisch probeert dicht te timmeren. Het Europese Hof van Justitie verklaarde de twee voorgangers ongeldig qua regelgeving naar aanleiding van klachten die werden ingediend door de inmiddels beroemde privacyactivist Max Schrems. Hij diende een klacht in tegen Facebook, waardoor het Privacy Shield in juli 2020 nietig is verklaard. Die in 2016 overeengekomen overeenkomst voor privacybescherming is na jaren werk tot stand gekomen, maar bleek dus ook niet afdoende.

Rechtszekerheid

‘Dit nieuwe kader voor gegevensprivacy zal zorgen voor veilige datastromen voor Europeanen en rechtszekerheid bieden aan bedrijven aan beide zijden van de Atlantische Oceaan’, zegt commissievoorzitter Ursula von der Leyen nu over de derde poging. Von der Leyen sloot vorig jaar al een principeovereenkomst met de Amerikaanse president Joe Biden over veilige, vrije dataflows naar de VS, zoals berichten op sociale media of de personeelsadministratie van een Amerikaans bedrijf in de EU.

Procedures en praktijk

Vlak voor afgelopen weekend doken er al berichten op dat EU-lidstaten positief zouden hebben gestemd over de adequaatheid van het EU-US Data Privacy Framework. Dat betrof echter niet een definitieve acceptatie, maar 'slechts' de benodigde overeenstemming over het concept vóórdat de Europese Commissie zich erover kan buigen. Dat is daarna dus gebeurd wat nu heeft geleid tot omarming van het adequaatheidsbesluit. Ondanks de geruststellende woorden vanuit de EC is het nu de vraag hoe stabiel en houdbaar deze nieuwste privacyregels voor datadoorgifte naar de Verenigde Staten in de praktijk zullen zijn.

Dit bericht verscheen eerder op AG Connect.