Advies EDPB over nieuw EU-US Data Privacy Framework
De European Data Protection Board (EDPB) heeft advies uitgebracht over het nieuwe EU-US Data Privacy Framework (DPF) voor doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Volgens de EDPB is het DPF veel beter dan zijn voorganger, maar er zijn ook kanttekeningen.
De EDPB bestaat uit alle Europese privacytoezichthouders, waaronder de Autoriteit Persoonsgegevens.
EU-US Data Privacy Framework
Op 25 maart 2022 hebben de Europese Commissie (EC) en de VS een akkoord bereikt over het DPF als vervanging van het Privacy Shield. Dat laatste was namelijk in 2020 door het Europese Hof van Justitie ongeldig verklaard.
Het DPF regelt de bescherming van persoonsgegevens bij datastromen tussen de Europese Unie (EU) en de VS. En moet de tekortkomingen wegnemen die het Europese Hof constateerde in het Privacy Shield.
Daarvoor heeft de VS ook wetswijzigingen doorgevoerd. Zo mogen Amerikaanse inlichtingendiensten nog alleen toegang hebben tot persoonsgegevens van EU-inwoners als dit strikt noodzakelijk is.
Wat vindt de EDPB?
De EDPB schrijft in het advies dat het DPF een significante verbetering is vergeleken met het voormalige Privacy Shield. Maar er zijn ook kanttekeningen:
- Het is niet duidelijk genoeg wat er gebeurt met persoonsgegevens die zijn gedeeld met bedrijven in de VS en die vervolgens worden doorgegeven aan bedrijven in landen buiten de EU.
- Mensen van wie gegevens zijn doorgegeven aan de VS hebben weliswaar meer opties om hun rechten uit te oefenen, maar het is nog onduidelijk hoe dit werkt in de praktijk.
- Er zijn vragen over welke waarborgen er zijn bij de bulkverzameling van gegevens van EU-inwoners (zoals door een ‘sleepnet’). Bovendien lijkt het toezicht hierop pas achteraf te zijn.
Lees het advies van de EDPB over het EU-US Data Privacy Framework.
Hoe nu verder?
De EC heeft een concept-adequaatheidsbesluit opgesteld over het DPF. Met zo’n besluit stelt de EC vast dat een land buiten de EU een passend beschermingsniveau biedt voor de doorgifte van persoonsgegevens vanuit de EU.
Dit adequaatheidsbesluit staat nog niet vast. Na het advies van de EDPB moet er nog een akkoord komen van de vertegenwoordigers van alle EU-lidstaten en is er mogelijk nog inbreng van het Europese Parlement. Daarnaast zijn er nog enkele andere voorwaarden, waaronder bepaalde garanties vanuit de VS.
Totdat de EC het adequaatheidsbesluit daadwerkelijk heeft genomen, moeten organisaties die persoonsgegeven willen doorgeven naar de VS nog extra waarborgen treffen.