logo (1)logo
Support

Mogen persoonsgegevens weer naar de VS?

Onderstaand blog artikel (orgineel van ICT-recht) leek ons superlogisch om te delen. Als Analyst ICT vinden wij het belangrijk dat er goed nagedacht wordt over waar, en wat er met je data gebeurt. Zoals je eerder in het nieuws hebt kunnen volgen is er nogal wat te doen over het opslaan van data in de US. Hieronder een overzicht van de laatst ontwikkelingen.

Op 7 oktober 2022 heeft de Amerikaanse president Biden een Executive Order ondertekend als volgende stap naar het oprichten van een opvolger van het in 2020 ongeldig verklaarde EU-VS Privacy Shield. In deze blog wordt uitgelegd waarom de noodzaak bestond om tot een nieuw akkoord te komen, wat deze Executive Order nou precies inhoudt en wat kritische denkers als Max Schrems vinden van dergelijke nieuwe mechanismen van doorgifte tussen de EU en de VS.

Waarom een Executive Order?

In de Schrems II zaak heeft het Hof van Justitie van de Europese Unie (het Hof) het EU-VS Privacy Shield ongeldig verklaard. Dankzij het Privacy Shield konden organisaties binnen de EU persoonsgegevens doorgeven aan organisaties in de Verenigde Staten. Partijen konden zich hier al bij aansluiten wanneer ze, op basis van een aantal te nemen stappen, aantoonden te voldoen aan enkele minimum eisen zoals wij die kennen uit de AVG. Bijvoorbeeld het opstellen van een privacyverklaring.

Het Privacy Shield was nodig omdat de Algemene verordening gegevensbescherming (AVG) doorgifte van persoonsgegevens aan personen of organisaties die gevestigd zijn buiten de EER, zoals die in de VS, verbiedt. Doorgifte is dan ook alleen toegestaan naar landen met een passend beschermingsniveau (de VS biedt geen passend beschermingsniveau). In ons blog Aanbevelingen EDPB voor doorgifte persoonsgegevens naar derde landen wordt uitgelegd op welke manier doorgifte van persoonsgegevens naar zogeheten derde landen toch mag plaatsvinden.

Het Hof vond in de zaak Schrems II dat het Privacy Shield onvoldoende bescherming kon garanderen. Dit had te maken met het feit dat de inlichtingen- en veiligheidsdiensten in de VS in sommige gevallen het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. Amerikaanse wetgeving die de deur hiertoe met een aardige kier openzet, gaat in de praktijk voor op wetgeving uit de EU.

Hoewel dat voor ‘ons’ mogelijk vreemd aanvoelt, komen dergelijke wettelijke mogelijkheden in de VS veelal voort uit een andere kijk op privacy, dan dat wij hier hebben in de EU. Privacy wordt in de EU aangemerkt als een grondrecht dat geldt voor iedereen. Volgens Amerikaanse wetgeving is het idee van bescherming van privacy vooral voorbehouden aan Amerikaanse burgers en permanente ingezetenen. Dankzij de nietigheid van het Privacy Shield, moeten aanvullende waarborgen getroffen worden om gegevens alsnog door te mogen geven aan de VS. Aan die rompslomp lijkt nu dus een einde te komen. Of juichen we te vroeg?

Wat houdt deze nieuwe Executive Order in?

Door de Executive Order te ondertekenen lijkt Biden aan te geven de eerdere uitspraken van het Hof te respecteren. De Executive Order voorziet namelijk in het volgende:

  • Bindende waarborgen die zorgen voor een beperking van toegang tot gegevens door de Amerikaanse inlichtingendiensten tot wat noodzakelijk en proportioneel is om de nationale veiligheid te beschermen;
  • Een nieuwe onafhankelijke en onpartijdige beroepsmechanisme, waaronder een nieuwe rechtbank voor gegevensbescherming (DPRC), die ervoor zorgt dat klachten over toegang tot de gegevens door Amerikaanse veiligheidsinstanties zullen worden onderzocht en opgelost;
  • Herziening van het beleid en de procedures van de Amerikaanse inlichtingendienst.

Wat vindt Schrems van deze nieuwe Executive Order?

Schrems, vooral bekend van zijn eerdere zaken tegen de doorgifte mechanismen met de VS en werkzaam bij kantoor NOYB, lijkt vooralsnog – verrassing – niet te spreken over de Executive Order. Hij geeft daarbij aan dat de ‘nieuwe rechtbank’ die wordt opgericht geen echte rechtbank is, omdat het hernoemen van een klachteninstantie tot ‘rechtbank’ het niet daadwerkelijk ook een rechtbank maakt. Schrems geeft hierin ook aan dat de kernproblemen op het eerste gezicht niet opgelost lijken te zijn. Het lijkt er dan ook op dat hij zich weer gaat keren tot het Hof. NOYB heeft verder aangegeven binnen enkele dagen terug te komen met een diepgaande analyse van de Executive Order.

Er valt absoluut wat te zeggen voor de bezwaren van Schrems. Daarnaast is het natuurlijk nog maar de vraag hoe bepaalde woorden als ‘proportioneel’ en ‘noodzakelijk’ (onderdeel van de Executive Order) uitgelegd gaan worden vanuit Amerikaans perspectief. Ook bieden de eerdere pogingen om doorgifte tussen de VS en de EU te stroomlijnen nou niet bepaald veel toekomstperspectief.

Het lijkt erop dat het laatste woord nog niet gezegd is. Schrems lijkt alsnog niet tevreden te zijn met de nieuwe Executive Order. Het is dan ook niet verstandig om deze direct te zien als reddingsboei om maar weer volop gebruik te maken van de Amerikaanse service providers. Dit volgt uit de onzekerheid en de kosten die komen kijken bij het terugdraaien van die beslissing als het voorstel het niet gaat redden of wordt afgeschoten door Schrems en co. Laten we dus inderdaad maar niet te vroeg juichen. In de tussentijd blijven DTIA’s (Data Transfer Impact Assessments) verplicht wanneer je gegevens gaat delen met organisaties buiten de EER.

Bron: ICTrecht

Indien je nog vragen hebt of wilt weten hoe wij andere klanten hiermee geholpen hebben neem dan even contact met ons op.

 

Laatste blogs

CoPilot
Blog
Superlogisch aan de slag met Microsoft 365 Copilot: 7 prompting tips voor uw organisatie
In de praktijk zien we vaak dat organisaties enthousiast starten met een slimme tool zoals Microsoft 365 Copilot, maar dan blijven hangen op de vraag: “Hoe benut ik ‘m slim?” Want: zonder duidelijke input krijgt u soms output die nét niet helpt. Als uw digitale assistent niet weet wat u wilt, lukt het niet om u gemoedsrust, overzicht en eenvoud te geven. Wij geloven dat ICT menselijker moet zijn: helder, betrouwbaar, zonder gedoe. Daarom geven we u hier 7 praktische prompting­tips die helpen om Copilot echt productief in te zetten. U krijgt grip op de tool, zodat u rust voor…
copilot 365
Blog
Microsoft 365 Copilot app: Superlogische antwoorden
Probleem Veel MKB-bedrijven kampen ermee: medewerkers staren tegen een volle mailbox, grote documenten, eindeloze vergaderingsoverzichten of losse actiepunten aan. De uitdaging: hoe krijgen we sneller grip op de dagelijkse werkstroom, zonder dat het automatiserings­project groter wordt dan het werk zelf? Oplossing Met de Microsoft 365 Copilot app biedt Microsoft een slimme sparringpartner voor uw werkplek: het helpt bij schrijven, samenvatten, plannen en analyseren — binnen het vertrouwde Microsoft 365-ecosysteem. Voor u als directeur, ICT-manager of backoffice-verantwoordelijke: het betekent minder tijd kwijt aan routine en meer focus op de kern van uw werk. Wat doet de Microsoft 365 Copilot app? U…
ChatGPT atlas
Blog
Een nieuwe browser van ChatGPT “Atlas”
Als uw partner vinden wij het superlogisch om ontwikkelingen zoals de opkomst van de nieuwe browser ChatGPT Atlas met u te delen. Niet omdat we u aanzetten tot direct gebruik, maar omdat kennis van nieuwe tools u helpt om bewuste keuzes te maken. Hieronder leggen we uit wat ChatGPT Atlas is, wat de mogelijkheden zijn, hoe deze zich naar verwachting verder ontwikkelt — én waarom wij aanraden om deze browser nog niet zakelijk in te zetten. Wat is ChatGPT Atlas? Atlas is een browser ontwikkeld door OpenAI, waarin de chatbot ChatGPT direct is geïntegreerd.  De browser is gebouwd op het…

Een nieuwsbrief

Superlogisch toch?