logo (1)logo
Support

Mogen persoonsgegevens weer naar de VS?

Onderstaand blog artikel (orgineel van ICT-recht) leek ons superlogisch om te delen. Als Analyst ICT vinden wij het belangrijk dat er goed nagedacht wordt over waar, en wat er met je data gebeurt. Zoals je eerder in het nieuws hebt kunnen volgen is er nogal wat te doen over het opslaan van data in de US. Hieronder een overzicht van de laatst ontwikkelingen.

Op 7 oktober 2022 heeft de Amerikaanse president Biden een Executive Order ondertekend als volgende stap naar het oprichten van een opvolger van het in 2020 ongeldig verklaarde EU-VS Privacy Shield. In deze blog wordt uitgelegd waarom de noodzaak bestond om tot een nieuw akkoord te komen, wat deze Executive Order nou precies inhoudt en wat kritische denkers als Max Schrems vinden van dergelijke nieuwe mechanismen van doorgifte tussen de EU en de VS.

Waarom een Executive Order?

In de Schrems II zaak heeft het Hof van Justitie van de Europese Unie (het Hof) het EU-VS Privacy Shield ongeldig verklaard. Dankzij het Privacy Shield konden organisaties binnen de EU persoonsgegevens doorgeven aan organisaties in de Verenigde Staten. Partijen konden zich hier al bij aansluiten wanneer ze, op basis van een aantal te nemen stappen, aantoonden te voldoen aan enkele minimum eisen zoals wij die kennen uit de AVG. Bijvoorbeeld het opstellen van een privacyverklaring.

Het Privacy Shield was nodig omdat de Algemene verordening gegevensbescherming (AVG) doorgifte van persoonsgegevens aan personen of organisaties die gevestigd zijn buiten de EER, zoals die in de VS, verbiedt. Doorgifte is dan ook alleen toegestaan naar landen met een passend beschermingsniveau (de VS biedt geen passend beschermingsniveau). In ons blog Aanbevelingen EDPB voor doorgifte persoonsgegevens naar derde landen wordt uitgelegd op welke manier doorgifte van persoonsgegevens naar zogeheten derde landen toch mag plaatsvinden.

Het Hof vond in de zaak Schrems II dat het Privacy Shield onvoldoende bescherming kon garanderen. Dit had te maken met het feit dat de inlichtingen- en veiligheidsdiensten in de VS in sommige gevallen het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. Amerikaanse wetgeving die de deur hiertoe met een aardige kier openzet, gaat in de praktijk voor op wetgeving uit de EU.

Hoewel dat voor ‘ons’ mogelijk vreemd aanvoelt, komen dergelijke wettelijke mogelijkheden in de VS veelal voort uit een andere kijk op privacy, dan dat wij hier hebben in de EU. Privacy wordt in de EU aangemerkt als een grondrecht dat geldt voor iedereen. Volgens Amerikaanse wetgeving is het idee van bescherming van privacy vooral voorbehouden aan Amerikaanse burgers en permanente ingezetenen. Dankzij de nietigheid van het Privacy Shield, moeten aanvullende waarborgen getroffen worden om gegevens alsnog door te mogen geven aan de VS. Aan die rompslomp lijkt nu dus een einde te komen. Of juichen we te vroeg?

Wat houdt deze nieuwe Executive Order in?

Door de Executive Order te ondertekenen lijkt Biden aan te geven de eerdere uitspraken van het Hof te respecteren. De Executive Order voorziet namelijk in het volgende:

  • Bindende waarborgen die zorgen voor een beperking van toegang tot gegevens door de Amerikaanse inlichtingendiensten tot wat noodzakelijk en proportioneel is om de nationale veiligheid te beschermen;
  • Een nieuwe onafhankelijke en onpartijdige beroepsmechanisme, waaronder een nieuwe rechtbank voor gegevensbescherming (DPRC), die ervoor zorgt dat klachten over toegang tot de gegevens door Amerikaanse veiligheidsinstanties zullen worden onderzocht en opgelost;
  • Herziening van het beleid en de procedures van de Amerikaanse inlichtingendienst.

Wat vindt Schrems van deze nieuwe Executive Order?

Schrems, vooral bekend van zijn eerdere zaken tegen de doorgifte mechanismen met de VS en werkzaam bij kantoor NOYB, lijkt vooralsnog – verrassing – niet te spreken over de Executive Order. Hij geeft daarbij aan dat de ‘nieuwe rechtbank’ die wordt opgericht geen echte rechtbank is, omdat het hernoemen van een klachteninstantie tot ‘rechtbank’ het niet daadwerkelijk ook een rechtbank maakt. Schrems geeft hierin ook aan dat de kernproblemen op het eerste gezicht niet opgelost lijken te zijn. Het lijkt er dan ook op dat hij zich weer gaat keren tot het Hof. NOYB heeft verder aangegeven binnen enkele dagen terug te komen met een diepgaande analyse van de Executive Order.

Er valt absoluut wat te zeggen voor de bezwaren van Schrems. Daarnaast is het natuurlijk nog maar de vraag hoe bepaalde woorden als ‘proportioneel’ en ‘noodzakelijk’ (onderdeel van de Executive Order) uitgelegd gaan worden vanuit Amerikaans perspectief. Ook bieden de eerdere pogingen om doorgifte tussen de VS en de EU te stroomlijnen nou niet bepaald veel toekomstperspectief.

Het lijkt erop dat het laatste woord nog niet gezegd is. Schrems lijkt alsnog niet tevreden te zijn met de nieuwe Executive Order. Het is dan ook niet verstandig om deze direct te zien als reddingsboei om maar weer volop gebruik te maken van de Amerikaanse service providers. Dit volgt uit de onzekerheid en de kosten die komen kijken bij het terugdraaien van die beslissing als het voorstel het niet gaat redden of wordt afgeschoten door Schrems en co. Laten we dus inderdaad maar niet te vroeg juichen. In de tussentijd blijven DTIA’s (Data Transfer Impact Assessments) verplicht wanneer je gegevens gaat delen met organisaties buiten de EER.

Bron: ICTrecht

Indien je nog vragen hebt of wilt weten hoe wij andere klanten hiermee geholpen hebben neem dan even contact met ons op.

 

Laatste blogs

Whatsapp Business
Blog
Handig! Whatsapp business op meerdere apparaten
De vakantieperiode komt eraan, en we hebben bij onze servicedesk al meerdere keren dezelfde supportvraag voorbij horen komen: “Kan ik WhatsApp Business op meerdere apparaten tegelijk gebruiken?” Jazeker, dat kan! In dit korte blogbericht leggen we uit hoe #superlogisch! Stap 1: Installeer WhatsApp Business op je primaire telefoon 1. Download en installeer de WhatsApp Business app vanuit de Google Play Store of Apple App Store. 2. Open de app en registreer je met het telefoonnummer dat je wilt gebruiken voor je bedrijf. 3. Voltooi de installatie en configureer je bedrijfsprofiel. Stap 2: Schakel de multi-device functie in 1. Open WhatsApp…
cyber hygiene
Blog
Cyber Hygiëne?
Cyber Hygiëne? Nooit van gehoord? Maar Cyber Hygiëne is een essentieel onderdeel van een veilige bedrijfsvoering. Net zoals persoonlijke hygiëne helpt om gezondheidsproblemen te voorkomen, helpt cyber hygiëne om de veiligheid en integriteit van uw digitale systemen en gegevens te waarborgen. Voor MKB bedrijven is het van cruciaal belang om goede cyber hygiëne te implementeren om zich te beschermen tegen cyberdreigingen. In deze blog leggen we uit wat cyber hygiëne inhoudt, waarom het zo belangrijk is voor MKB bedrijven, en hoe Analyst ICT u kan ondersteunen bij de implementatie. Wat is Cyber Hygiëne? Cyber hygiëne verwijst naar de best practices…
myworkdrive
Blog
My Work Drive: De Ideale Files naar de Cloudoplossing voor het MKB.
Toegankelijkheid tot bedrijfsgegevens is van cruciaal belang voor het succes van een onderneming, vooral voor kleine en middelgrote bedrijven (MKB’s). My Work Drive biedt hier een perfecte oplossing voor. Deze dienst stelt bedrijven in staat om overal en altijd toegang te krijgen tot hun documenten, wat resulteert in verhoogde productiviteit en flexibiliteit. Nog klaar om de bedrijfsdata in de Cloud te plaatsen maar wel graag overal beschikbaar. Myworkdrive kan hier mee helpen. Wat is My Work Drive? My Work Drive is een bestandstoegangssysteem dat speciaal is ontworpen om gebruikers in staat te stellen bestanden op te slaan en bewerken in…

Een nieuwsbrief

Superlogisch toch?