Europese Commissie laat na evaluatie elf adequaatheidsbesluiten over datastromen naar derde landen in stand

Contentverzamelaar

Europese Commissie laat na evaluatie elf adequaatheidsbesluiten over datastromen naar derde landen in stand

Nieuwsbericht | 19-01-2024

Uit de evaluatie blijkt onder meer dat de kaders voor gegevensbescherming in de betreffende derde landen en gebieden verder naar het EU-kader zijn toegegroeid en de bescherming van persoonsgegevens in hun rechtsgebieden hebben versterkt. Ook blijkt dat de Algemene Verordening Gegevensbescherming positieve veranderingen heeft teweeggebracht, zoals de invoering van nieuwe rechten voor personen, de versterking van de onafhankelijkheid en de bevoegdheden van de autoriteiten die verantwoordelijk zijn voor de handhaving van de privacywetgeving of de modernisering van de regels voor internationale doorgiften.

Het gaat om de op 15 januari 2024 door de Europese Commissie afgeronde herziening van 11 bestaande adequaatheidsbesluiten. Deze besluiten waren eerder al genomen op grond van de EU-wetgeving inzake gegevensbescherming die voorafging aan de Algemene Verordening Gegevensbescherming (AVG; Verordening 2016/679). In het bij de evaluatie behorende verslag komt de Europese Commissie tot de conclusie dat persoonsgegevens die vanuit de Europese Unie worden doorgegeven aan de betreffende elf (derde) landen (Andorra, Argentinië, Canada, de Faeröer, Guernsey, het eiland Man, Israël, Jersey, Nieuw-Zeeland, Zwitserland en Uruguay) nog steeds adequate waarborgen voor gegevensbescherming genieten. Daarom blijven de adequaatheidsbesluiten die voor deze 11 landen en gebieden zijn vastgesteld, van kracht en kunnen gegevens vrij naar deze rechtsgebieden blijven stromen.

Uit de bij de evaluatie horende landenrapporten (Werkdocument van de diensten van de Commissie) blijkt dat de verschillende landen en gebieden sinds de vaststelling van de adequaatheidsbesluiten in het kader van de Gegevensbeschermingsrichtlijn (95/46/EG; niet langer in werking) van 1995 hun privacywetgeving ingrijpend hebben gemoderniseerd. Ze hebben hun kaders verder aangepast aan de AVG of specifieke hervormingen doorgevoerd die de waarborgen voor persoonsgegevens hebben versterkt. Sommige landen  hebben specifieke waarborgen ingevoerd om de bescherming van gegevens uit de Europese Economische Ruimte te versterken, onder meer om het voor Europeanen gemakkelijker te maken hun rechten uit te oefenen. Uit de evaluatie bleek ook dat overheidsinstanties in de 11 rechtsgebieden onderworpen zijn aan passende waarborgen op het gebied van toegang tot gegevens door overheidsinstanties, met name voor rechtshandhavingsdoeleinden of nationale veiligheid. Dit omvat effectieve toezichts- en verhaalmechanismen.

De Commissie geeft aan de relevante ontwikkelingen in de betrokken landen en gebieden te blijven volgen, met name waar verdere hervormingen van de wetgeving aan de gang zijn. Op grond van de AVG moet de Commissie periodiek de adequaatheidsbesluiten herzien. Zie voor meer informatie over (adequaatheid) van dataprotectie in de EU en voor niet-EU landen ook de website van de Commissie. 

Achtergrond
Met de inwerkingtreding van de AVG in mei 2018 bleven de adequaatheidsbesluiten die eerder in het kader van de Gegevensbeschermingsrichtlijn waren vastgesteld, van kracht. Tegelijkertijd verduidelijkt de AVG dat adequaatheidsbesluiten "levende instrumenten" zijn en dat de Commissie deze besluiten periodiek moet evalueren.

Bij haar eerste evaluatie heeft de Commissie de ontwikkelingen in het gegevensbeschermingskader van de landen en gebieden sinds de vaststelling van de adequaatheidsbesluiten geëvalueerd en ook de geldende regels voor toegang van de overheid tot gegevens voor rechtshandhavingsdoeleinden en nationale veiligheid beoordeeld.

In het geval van ontwikkelingen in een adequaat land of gebied die een negatieve invloed zouden hebben op het beschermingsniveau voor persoonsgegevens, heeft de Commissie de bevoegdheid om een adequaatheidsbesluit op te schorten, te wijzigen of in te trekken.

In totaal zijn er 16 adequaatheidsbesluiten van kracht, respectievelijk voor Andorra, Argentinië, Canada (commerciële organisaties), Faeröer, Guernsey, Israël, het eiland Man, Japan, Jersey, Nieuw-Zeeland, de Republiek Korea, Zwitserland, het Verenigd Koninkrijk (onder de Uitvoeringsverordening 2021/1772 betreffende passende bescherming van persoonsgegevens door het Verenigd Koninkrijk en de LED (Uitvoeringsbesluit 2021/1773)) , de Verenigde Staten (voor commerciële organisaties die zijn gecertificeerd onder het EU-VS Data Privacy Framework) en Uruguay.

In 2019 erkenden de EU en Japan elkaars gegevensbeschermings- systemen als 'gelijkwaardig', waardoor persoonsgegevens vrij tussen hen kunnen stromen. Deze regeling creëerde 's werelds grootste ruimte van vrije en veilige gegevensstromen. In juni 2023 nam de EU besluiten over de gelijkwaardigheid voor het Verenigd Koninkrijk en in januari 2022 voor Zuid-Korea. In juli 2023 heeft de Europese Commissie haar adequaatheidsbesluit vastgesteld voor het EU-VS-kader voor gegevensprivacy.

Meer informatie:
Persbericht Europese Commissie
ECER-dossier: Privacy
ECER-bericht: Europese Commissie neemt adequaatheidsbesluit over uitwisselen gegevensbescherming met de Verenigde Staten aan (18 juli 2023)