Europese Commissie neemt adequaatheidsbesluit over uitwisselen gegevensbescherming met de Verenigde Staten aan
Nieuwsbericht | 18-07-2023
Het gaat om het adequaatheidsbesluit van 10 juli 2023 over het EU-VS-kader voor gegevensbescherming van de Europese Commissie. Er werd ook een Q&A en factsheet over het kader uitgebracht. Via de website van de Europese Commissie is meer achtergrondinformatie verkrijgbaar over de doorgifte van gegevens tussen de EU en de VS, de internationale dimensie van gegevensbescherming en over adequaatheidsbesluiten.
De Europese Commissie zal de werking van het EU-VS-kader voor gegevensbescherming periodiek gaan toetsen. Dit doet de Commissie samen met vertegenwoordigers van de Europese gegevensbeschermings-autoriteiten en bevoegde Amerikaanse autoriteiten. Binnen een jaar na de inwerkingtreding van het adequaatheidsbesluit zal de eerste toetsing plaatsvinden. Hierbij zal worden nagegaan of alle relevante elementen volledig zijn omgezet in het Amerikaanse rechtskader en of ze in de praktijk doeltreffend functioneren.
Het adequaatheidsbesluit In het besluit wordt geconcludeerd dat de Verenigde Staten een adequaat – met dat van de Europese Unie vergelijkbaar – beschermingsniveau waarborgt voor persoonsgegevens die binnen het nieuwe kader vanuit de EU aan Amerikaanse bedrijven worden doorgegeven. Op basis van het nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig vanuit de EU worden doorgegeven aan Amerikaanse bedrijven die aan het kader deelnemen, zonder dat er aanvullende waarborgen voor gegevensbescherming moeten komen.
Om de in 2020 door het EU-Hof geuite bezwaren in de zogenoemde Schrems-zaak (zie hierna) weg te nemen, zijn in het EU-VS-kader voor gegevensbescherming nieuwe bindende waarborgen ingevoerd. Zo wordt de toegang van Amerikaanse inlichtingendiensten tot EU-gegevens beperkt tot wat noodzakelijk en evenredig is, en wordt er een Data Protection Review Court (DPRC) opgericht, waartoe natuurlijke personen uit de EU toegang hebben. Het nieuwe kader is verbeterd ten opzichte van het privacyschild-mechanisme. Als de DPRC bijvoorbeeld constateert dat de gegevens in strijd met de nieuwe waarborgen zijn verzameld, kan de DPRC opdracht geven tot het wissen van de gegevens. De nieuwe waarborgen op het gebied van de toegang van de overheid tot gegevens komen bovenop de vereisten waaraan Amerikaanse bedrijven die gegevens uit de EU invoeren, zich zullen moeten houden.
Amerikaanse bedrijven kunnen tot het EU-VS-kader voor gegevensbescherming toetreden door zich te verbinden tot het nakomen van een gedetailleerde reeks privacyverplichtingen. Bijvoorbeeld de verplichting om persoonsgegevens te wissen wanneer die niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, en de verplichting om de continuïteit van de bescherming te garanderen wanneer persoonsgegevens met derden worden gedeeld.
Natuurlijke personen uit de EU van wie de gegevens niet correct zijn behandeld door Amerikaanse bedrijven, kunnen op verschillende manieren verhaal halen. Bijvoorbeeld via kosteloze, onafhankelijke geschillenbeslechtingsmechanismen en een arbitragepanel.
Het Amerikaanse rechtskader voorziet in een aantal waarborgen voor de toegang van Amerikaanse overheidsinstanties tot binnen het kader doorgegeven gegevens, met name ten behoeve van de handhaving van het strafrecht en de nationale veiligheid. De toegang tot gegevens moet beperkt zijn tot wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen.
Natuurlijke personen uit de EU kunnen, wat de verzameling en het gebruik van hun gegevens door Amerikaanse inlichtingendiensten betreft, een beroep doen op een onafhankelijk en onpartijdig verhaalmechanisme, bijvoorbeeld de nieuw opgerichte DPRC, die klachten op een onafhankelijke manier zal onderzoeken en oplossen, onder meer door bindende corrigerende maatregelen vast te stellen.
De Amerikaanse waarborgen moeten de trans-Atlantische gegevens-stromen ook in ruimere zin gaan vergemakkelijken. Ze zijn immers ook van toepassing bij de doorgifte van gegevens in het kader van andere instrumenten, zoals bij bepalingen van modelovereenkomsten en bindende bedrijfsvoorschriften.
Achtergrond Volgens artikel 45, lid 3, van de algemene verordening gegevensbescherming (AVG) is de Commissie bevoegd om door middel van een uitvoeringshandeling te besluiten dat een niet-EU-land “een adequaat beschermingsniveau” verzekert. Dit betekent een beschermingsniveau voor persoonsgegevens dat in wezen gelijkwaardig is aan het beschermingsniveau in de EU. Adequaatheidsbesluiten zorgen ervoor dat persoonsgegevens vanuit de EU (en Noorwegen, Liechtenstein en IJsland) vrij en zonder verdere belemmeringen naar een derde land kunnen stromen.
Het EU-Hof verklaarde eerder in de zogeheten Schrems II-zaak (zie ook dit ECER-bericht) het vorige adequaatheidsbesluit over het EU-VS-privacyschild ongeldig. Dit leidde tot besprekingen tussen de Commissie en de VS in 2020 over een nieuw kader, dat rekening zou houden met de kwesties die het EU-Hof aandroeg. In maart 2022 volgde een beginselakkoord over een nieuw trans-Atlantisch kader voor gegevensstromen. In oktober 2022 ondertekende de president van de VS een executive order ter versterking van de waarborgen in verband met de activiteiten van de VS op het gebied van inlichtingen uit berichtenverkeer, aangevuld met voorschriften uitgevaardigd door de minister van Justitie van de VS. Deze twee instrumenten samen zetten de verbintenissen die de VS in het kader van de beginselovereenkomst is aangegaan, om in Amerikaanse recht. Zij vullen de verplichtingen waaraan Amerikaanse bedrijven zich moeten houden uit hoofde van het EU-VS-kader voor gegevensbescherming aan.
In de executive order wordt tegemoet gekomen aan de bezwaren die het EU-Hof in het Schrems II-arrest van juli 2020 uitte.
Het kader wordt beheerd en gecontroleerd door het Amerikaanse Ministerie van Handel. Handhaving van de naleving door de Amerikaanse bedrijven berust bij de Federal Trade Commission van de VS.
Meer informatie: Persbericht Europese Commissie ECER-dossier: Privacy-AVG ECER-nieuwsbericht: Eerste stappen gezet in een EU-VS Data privacyraamwerk (2 januari 2023)