Ondanks recente kritiek van het Europees parlement, heeft de Europese Commissie op 10 juli 2023 goedkeuring gegeven aan het 'EU-US Data Privacy Framework'. Een belangrijk besluit dat de overdracht van persoonsgegevens tussen de Europese Unie en de Verenigde Staten reguleert. Dit betekent dat het weer mogelijk is om persoonsgegevens naar de Verenigde Staten te sturen.
Korte terugblik
Op 16 juli 2020 werd in de zaak Schrems II door het Hof van Justitie van de Europese Unie de EU-VS Data Protection Shield ongeldig verklaard. Door deze uitspraak was het niet zomaar mogelijk meer om persoonsgegevens over te dragen naar Amerikaanse bedrijven. Het Hof benadrukte namelijk dat de toegang van Amerikaanse veiligheidsdiensten tot Europese bulkgegevens buitensporig was en dat er onvoldoende rechtsmiddelen waren voor Europese burgers om deze toegang aan te vechten. Het Hof bepaalde dat het gebruik van standaardcontractbepalingen voor gegevensoverdracht nog steeds mogelijk was, maar vereiste dat bedrijven een grondige risicoanalyse uitvoerden om te waarborgen dat de gegevensbescherming werd gewaarborgd.
EU-US Data Privacy Framework
Maar nu is dat sinds 10 juli 2023 niet meer nodig. Het EU-US Data Privacy Framework is ontworpen om ervoor te zorgen dat Amerikaanse inlichtingendiensten alleen toegang hebben tot persoonsgegevens wanneer dit noodzakelijk en proportioneel is. Het EU-US Data Privacy Framework bevat ook een onafhankelijk en onpartijdig verhaalmechanisme om klachten van Europese burgers over het verzamelen van hun gegevens te behandelen en op te lossen. Het doel is om de bescherming van persoonsgegevens te waarborgen en tegelijkertijd de doorgifte van gegevens tussen de Europese Unie en de Verenigde Staten te vergemakkelijken.
Wat betekent dit nu?
Het 'EU-US Data Privacy Framework heeft enkele belangrijke implicaties voor gegevensbescherming en privacy. Ten eerste betekent het dat Amerikaanse bedrijven persoonsgegevens kunnen ontvangen vanuit de Europese Unie zonder aanvullende waarborgen voor gegevensoverdracht, op voorwaarde dat ze zich houden aan de regels van het EU-US Data Privacy Framework.
Verder is het niet langer vereist om Standaardcontractbepalingen op te nemen bij gegevensoverdracht naar de Verenigde Staten, en ook de verplichting tot het uitvoeren van een grondige risicoanalyse is komen te vervallen. Daarnaast kunnen bestaande contracten behouden blijven.
Uiteraard zijn er net zoals bij de EU-VS Data Protection Shield juridische uitdagingen. De ontwikkelingen worden nauwlettend in de gaten gehouden door José Kemper, Ayla Bosma en Aimée Tjalma. Bij vragen, neem contact op met één van hen.
Thema:
IT-recht
Auteur:
mr. Aimée Tjalma
