EDPB: aankondiging afspraken EU en VS 'goede eerste stap'
De Europese privacytoezichthouders vinden het een goede eerste stap dat de Europese Commissie en de Verenigde Staten (VS) nieuwe afspraken willen maken over de doorgifte van persoonsgegevens vanuit de Europese Unie (EU) naar de VS. Maar, waarschuwen ze, er is nog geen akkoord. Organisaties die persoonsgegevens vanuit de EU naar de VS willen exporteren, kunnen dat daarom alleen doen als de bescherming van die persoonsgegevens voldoende is gewaarborgd.
Dat schrijven de privacytoezichthouders, verenigd in de European Data Protection Board (EDPB), in een gezamenlijke verklaring. Ze reageren hiermee op de aankondiging van 25 maart van de Europese Commissie en de Amerikaanse regering van een ‘politiek principeakkoord’ over de doorgifte van persoonsgegevens van de EU naar de VS.
Afspraken hard nodig
Nieuwe afspraken tussen de EU en de VS zijn hard nodig. Dit komt omdat het Hof van Justitie van de EU in 2020 het Privacy Shield ongeldig verklaarde.
Dat was het eerdere besluit van de EU dat de bescherming van persoonsgegevens voldoende was bij Amerikaanse bedrijven die volgens de regels van dat Privacy Shield werkten. Daardoor konden organisaties makkelijk in de EU verzamelde persoonsgegevens exporteren naar de VS.
De Europese rechter oordeelde dat de bescherming van persoonsgegevens in de VS ernstig tekortschoot. Amerikaanse inlichtingendiensten kunnen volgens de wet toegang eisen tot data die op Amerikaanse servers staan.
Ook kunnen zij data onderscheppen die via onderzeekabels van de EU naar de VS stromen. Daarnaast is het voor Europeanen ook moeilijk om hier juridische stappen tegen te ondernemen bij een onafhankelijke toezichthouder of rechter.
Amerikaanse wet beschermt onvoldoende
De onderhandelingen tussen de EU en de VS over nieuwe afspraken lopen al langer, om zo tot een nieuw adequaatheidsbesluit te komen. Dit is een formeel besluit van de EU waarmee de EU erkent dat in een land buiten de EU persoonsgegevens net zo goed beschermd worden als in de EU.
Momenteel beschermen de Amerikaanse wetten de persoonsgegevens van Europeanen onvoldoende. Daarom is er nog veel werk te verzetten voordat de EU een nieuw adequaatheidsbesluit neemt.
Extra maatregelen blijven nodig
Sinds het wegvallen van het Privacy Shield is het voor organisaties alleen mogelijk om persoonsgegevens vanuit de EU naar de VS te exporteren als zij via een ‘doorgiftecontract’ en extra aanvullende maatregelen garanderen dat die persoonsgegevens veilig zijn. Is dit niet mogelijk, dan is een uitzonderingsgrond de laatste optie.
Als dat allebei niet lukt, is de doorgifte van persoonsgegevens naar de VS niet toegestaan. En kan een organisatie een boete krijgen.
De privacytoezichthouders benadrukken dat die maatregelen nodig blijven totdat er daadwerkelijk een nieuw adequaatheidsbesluit is.