Op 10 juli heeft de Europese Commissie een nieuwe overeenkomst aangenomen over de uitwisseling van persoonsgegevens met bedrijven in de Verenigde Staten. Het zogenaamde EU-US Data Privacy Framework is de derde poging tussen de twee partijen om tot een adequaatheidsbesluit te komen. In dit besluit wordt geconcludeerd dat de Verenigde Staten een passend beschermingsniveau garanderen (vergelijkbaar met dat van de Europese Unie) voor de overdracht van persoonsgegevens vanuit de Europese Unie naar bedrijven in de Verenigde Staten.
Op basis van dit het EU-US Data Privacy Framework kunnen persoonsgegevens opnieuw veilig en legaal worden doorgegeven aan Amerikaanse bedrijven die via zelfcertificering deelnemen aan het framework, zonder dat er extra beschermingsmaatregelen geïmplementeerd moeten worden. Uiteraard zijn Europese organisaties verantwoordelijk om zelf na te gaan of het Amerikaanse bedrijf aan wie ze persoonsgegevens (willen) doorgeven effectief deelnemen aan het EU-VS Privacy Framework.
Derde keer goede keer?
Dit nieuwe verdrag is de opvolger van het Privacy Shield, dat in 2020 ongeldig is verklaard door het Europees Hof van Justitie. Het Hof oordeelde dat de Verenigde Staten geen gepaste beschermingsmaatregelen konden bieden om de persoonsgegevens van Europese burgers te waarborgen. Privacy Shield bood onder andere geen bescherming tegen de indringende Amerikaanse surveillancewetten, die ervoor zorgden dat de Amerikaanse inlichtingendiensten toegang konden krijgen tot de gegevens van EU-burgers.
President Biden ondertekende op 7 oktober 2022 de Executive Order “Enhancing Safeguards for United States Signals Intelligence Activities” om verandering te bewerkstelligen. Deze presidentiële richtlijn stelde verplichte waarborgen in die de toegang van Amerikaanse inlichtingendiensten tot gegevens beperken tot wat nodig en passend is ter bescherming van de nationale veiligheid. Bovendien introduceerde deze richtlijn strenger toezicht op de activiteiten van deze inlichtingendiensten om te verzekeren dat de beperkingen op surveillanceactiviteiten worden nageleefd.
Het creëerde ook een tweeledig klachtenmechanisme, bestaande uit o.a. een nieuwe rechtbank voor gegevensbescherming, om klachten over het gebruik van hun gegevens door de Amerikaanse nationale veiligheidsdiensten te onderzoeken en op te lossen. De onafhankelijkheid en onpartijdigheid van dit klachtenmechanisme wordt echter wel in vraag gesteld.
Tweeledig klachtenmechanisme
Het vernieuwde klachtenmechanisme bestaat uit twee afzonderlijke onderdelen: een functionaris voor de bescherming van de burgerlijke vrijheden (Civil Liberties Protection Officer), die ervoor moet zorgen dat de Amerikaanse inlichtingendiensten de privacy en fundamentele rechten respecteren, en het nieuw opgerichte Data Protection Review Court (DPRC), waar individuen in beroep kunnen gaan tegen de beslissing van de functionaris voor de bescherming van de burgerlijke vrijheden.
Eerst kunnen personen een klacht indienen bij hun nationale gegevensbeschermingsautoriteit, die ervoor zorgt dat de klacht bij de juiste autoriteit terechtkomt en die de persoon verdere informatie geeft over de procedure en de uiteindelijke uitkomst. Deze klacht wordt vervolgens onderzocht door de functionaris, die ook de initiële beslissing neemt of er al dan niet een schending van de Amerikaanse wetgeving heeft plaatsgevonden.
Als de betrokkene het niet eens is met deze beslissing, kan hij of zij in beroep gaan bij het DPRC. Dit gerechtshof heeft de bevoegdheid om klachten van EU-burgers verder te onderzoeken, inclusief het verkrijgen van relevante informatie van inlichtingendiensten, en om bindende corrigerende beslissingen te nemen.
Mede dankzij de invoering van deze maatregelen heeft de Europese Commissie besloten dat de Verenigde Staten een passend beschermingsniveau garanderen voor de doorgifte van persoonsgegevens vanuit de Europese Unie naar bedrijven in de Verenigde Staten, maar is dat ook echt zo?
Privacy Shield 2.0?
Volgens Max Schrems, oprichter van het NOYB-initiatief en vooral bekend vanwege zijn rol in de vernietiging van het vorige adequaatheidsbesluit, is dit nieuwe raamwerk slechts een kopie van het voormalige Privacy Shield. De muren waar het vorige besluit tegenaan botste zijn nog steeds van kracht, aangezien er tot op heden geen substantiële wijzigingen zijn aangebracht in de Amerikaanse surveillancewetgeving. De Verenigde Staten weigeren bijvoorbeeld nog steeds om hun controversiële surveillancewetten te hervormen om voldoende privacybescherming te bieden aan niet-Amerikaanse personen. Bovendien blijven ze vasthouden aan hun standpunt dat niet-Amerikaanse personen geen grondwettelijke rechten hebben in de VS, wat betekent dat een schending van het recht op privacy niet valt onder het 4e Amendement (dat op zijn beurt wel geschonden wordt door de surveillancewetten).
Om deze reden verklaarde Schrems dat NOYB de nieuwe beslissing zal aanvechten. Ze bereiden momenteel verschillende procedurele opties voor om de nieuwe overeenkomst terug te brengen naar het Europese Hof van Justitie.
Terug naar de tekentafel?
Voorlopig wordt de overdracht van persoonsgegevens naar de VS dus als veilig en legaal beschouwd en kunnen Amerikaanse bedrijven hun deelname aan het adequaatheidsbesluit certificeren door zich te houden aan een gedetailleerde reeks privacy verplichtingen.
Hoe lang deze beslissing echter zal standhouden, valt nog te bekijken. De eerste herziening van het besluit is gepland in 2024 en als het van Max Schrems afhangt, zal de Europese Commissie vrij snel moeten terugkeren naar de tekentafel. Even vasthouden aan de extra beschermingsmaatregelen voor doorgiftes naar de VS lijkt dus geen slechte beslissing.