Doorgifte persoonsgegevens naar de VS

Wilt u persoonsgegevens doorgeven vanuit een land in de Europese Economische Ruimte (EER) naar een organisatie in de Verenigde Staten (VS)? Hoe dit werkt, hangt ervan af of die organisatie wel of niet meedoet aan het Data Privacy Framework. Dit zijn afspraken over veilige doorgifte van persoonsgegevens naar de VS.

Op deze pagina

Controleren of organisatie meedoet aan het Data Privacy Framework

U moet eerst controleren of de organisatie in de VS waarnaar u persoonsgegevens wilt doorgeven, meedoet aan het Data Privacy Framework. U controleert dit op de website van het Data Privacy Framework.

Dat een organisatie meedoet, wil nog niet automatisch zeggen dat ook alle producten van deze organisatie onder het Data Privacy Framework vallen. Wilt u een specifiek product van een (grote) organisatie gebruiken, zoals bepaalde software? Dan adviseert de Autoriteit Persoonsgegevens (AP) u om aanvullend zelf na te vragen bij deze organisatie of dit product ook onder het Data Privacy Framework valt.

Bekijk ook de antwoorden op veelgestelde vragen op de website van de EDPB (alleen beschikbaar in het Engels). 

Organisatie doet mee aan het Data Privacy Framework

Doet de organisatie in de VS waarnaar u persoonsgegevens wilt doorgeven mee aan het Data Privacy Framework? En als u een specifiek product wilt gebruiken, valt dit ook onder het Data Privacy Framework? Dan mag u de persoonsgegevens doorgeven. U hoeft hiervoor geen ander doorgifte-instrument te gebruiken. Ook hoeft u geen extra maatregelen te nemen om de gegevens te beschermen.

Organisatie doet niet mee aan het Data Privacy Framework

Doet de organisatie in de VS waarnaar u persoonsgegevens wilt doorgeven niet mee aan het Data Privacy Framework? Dan mag u de persoonsgegevens alleen doorgeven onder deze 2 voorwaarden:

  1. U gebruikt een doorgifte-instrument voor doorgifte naar een land buiten de EER. Zoals een modelcontract of binding corporate rules (BCR).
  2. U neemt extra maatregelen om de persoonsgegevens te beschermen indien nodig.

Extra maatregelen voor doorgifte persoonsgegevens naar de VS

Om de extra maatregelen te bepalen, kunt u de Aanbevelingen voor maatregelen ter aanvulling op doorgifte-instrumenten van de EDPB gebruiken.

De EDPB noemt verschillende waarborgen die u kunt overwegen, zoals goede encryptie en pseudonimisering. U moet per geval bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.

Dit is het Data Privacy Framework

Op 10 juli 2023 zijn nieuwe afspraken in werking getreden tussen de Europese Commissie (EC) en de VS over de doorgifte van persoonsgegevens vanuit de EER naar de VS. Die afspraken staan bekend onder de naam Data Privacy Framework.

De EC heeft een adequaatheidsbesluit genomen over de VS. Dat houdt in dat de EC heeft beoordeeld dat het niveau van bescherming van persoonsgegevens in de VS vergelijkbaar is met dat in de EER. Dit adequaatheidsbesluit is onderdeel van het Data Privacy Framework.

Organisaties in de VS kunnen meedoen aan het Data Privacy Framework. Doorgifte van persoonsgegevens vanuit de EER naar deze organisaties is dan toegestaan zonder dat de Europese partij extra juridische en technische maatregelen hoeft te nemen.

Opvolger van Privacy Shield

Het Data Privacy Framework is de opvolger van het Privacy Shield. Het Hof van Justitie van de Europese Unie verklaarde in 2020 het Privacy Shield ongeldig in de zaak Schrems II. Daardoor konden organisaties het Privacy Shield niet meer gebruiken voor doorgifte van persoonsgegevens naar de VS.

Met het Data Privacy Framework zijn er nieuwe afspraken tussen Europa en de VS. Volgens de EC is het nu veilig om persoonsgegevens door te geven naar organisaties in de VS die meedoen aan het Data Privacy Framework.

Klacht over Amerikaans bedrijf

Worden uw persoonsgegevens doorgegeven naar een Amerikaans bedrijf dat meedoet aan het Data Privacy Framework? En bent u het niet eens met hoe dit bedrijf met uw persoonsgegevens omgaat? Dan kunt u een klacht indienen. Dit doet u bij uw nationale privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).

U dient een klacht in bij de AP met het Klachtformulier Amerikaans bedrijf

Stuur het ingevulde formulier via e-mail naar KlachtenformulierDPF@autoriteitpersoonsgegevens.nl

U kunt het formulier ook printen en per post sturen naar:

Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ DEN HAAG.

Wilt u weten hoe de behandeling van uw klacht verloopt? Lees dan Procedure klacht Amerikaans bedrijf.

Bekijk ook de antwoorden op veelgestelde vragen op de website van de EDPB (alleen beschikbaar in het Engels). 

Toegang door Amerikaanse inlichtingendiensten

Persoonsgegevens van burgers in de EU of EER kunnen onder het Data Privacy Framework worden doorgegeven aan bedrijven in de VS. Daarbij is het mogelijk dat Amerikaanse inlichtingendiensten, onder strikte voorwaarden, toegang krijgen tot deze gegevens. 

Onderdeel van het adequaatheidsbesluit van de Europese Commissie is Executive Order (EO) 14086 on Enhancing Safeguards for United States Signals Intelligence Activities, ondertekend door President Biden op 7 oktober 2022. Deze EO met bijbehorende regelingen gaat over deze toegang van Amerikaanse inlichtingendiensten tot persoonsgegevens van Europese burgers. 

De EDPB heeft advies uitgebracht over het adequaatheidsbesluit en het Data Privacy Framework. Dit advies gaat ook over toegang tot persoonsgegevens door Amerikaanse inlichtingendiensten. 

Bescherming van Europese burgers

Voor Europese burgers van wie persoonsgegevens worden doorgegeven aan de VS, moet de EO voorzien in:

  • bindende waarborgen die de toegang tot gegevens door Amerikaanse inlichtingendiensten beperken tot wat noodzakelijk en proportioneel is om de nationale veiligheid te beschermen;
  • verscherpt toezicht op de activiteiten van de Amerikaanse inlichtingendiensten, om ervoor te zorgen dat de beperkingen op toezichtactiviteiten worden nageleefd;
  • de oprichting van een onafhankelijk en onpartijdig klachtmechanisme, waaronder een nieuwe rechtbank voor gegevensbescherming om klachten van burgers over de toegang tot hun gegevens door de Amerikaanse inlichtingendiensten te onderzoeken en af te handelen.

Klacht over Amerikaanse inlichtingendiensten

Bent u van mening dat Amerikaanse inlichtingendiensten onrechtmatig toegang hebben gehad tot uw persoonsgegevens? Of dat Amerikaanse inlichtingendiensten uw persoonsgegevens onrechtmatig hebben verwerkt? Dan kunt u een klacht indienen bij uw nationale privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP). 

U dient een klacht in bij de AP met het Klachtformulier Amerikaanse inlichtingendiensten

Stuur het ingevulde formulier via e-mail naar KlachtenformulierDPF@autoriteitpersoonsgegevens.nl

U kunt het formulier ook printen en per post sturen naar:

Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ DEN HAAG.

Behandeling van uw klacht

De AP:

  • controleert uw identiteit;
  • bekijkt of uw klacht voldoet aan de voorwaarden;
  • controleert of uw klacht volledig is;
  • vertaalt uw klacht in het Engels, als dat nodig is;
  • verstuurt uw klacht via een beveiligde verbinding digitaal naar het secretariaat van de EDPB.

De EDPB stuurt uw klacht vervolgens naar de Amerikaanse bevoegde instantie. Gaat uw klacht over toegang tot uw persoonsgegevens door Amerikaanse veiligheidsdiensten voor nationale veiligheidsdoeleinden? Dan is die bevoegde instantie de Civil Liberties Protection Officer (CLPO) van de Office of the Director of National Intelligence (ODNI).

Wilt u meer weten over hoe de behandeling van uw klacht verloopt? Lees dan Procedure klacht Amerikaanse inlichtingendiensten.