Mogen persoonsgegevens weer naar de VS?

Onderstaand blog artikel (orgineel van ICT-recht) leek ons superlogisch om te delen. Als Analyst ICT vinden wij het belangrijk dat er goed nagedacht wordt over waar, en wat er met je data gebeurt. Zoals je eerder in het nieuws hebt kunnen volgen is er nogal wat te doen over het opslaan van data in de US. Hieronder een overzicht van de laatst ontwikkelingen.

Op 7 oktober 2022 heeft de Amerikaanse president Biden een Executive Order ondertekend als volgende stap naar het oprichten van een opvolger van het in 2020 ongeldig verklaarde EU-VS Privacy Shield. In deze blog wordt uitgelegd waarom de noodzaak bestond om tot een nieuw akkoord te komen, wat deze Executive Order nou precies inhoudt en wat kritische denkers als Max Schrems vinden van dergelijke nieuwe mechanismen van doorgifte tussen de EU en de VS.

Waarom een Executive Order?

In de Schrems II zaak heeft het Hof van Justitie van de Europese Unie (het Hof) het EU-VS Privacy Shield ongeldig verklaard. Dankzij het Privacy Shield konden organisaties binnen de EU persoonsgegevens doorgeven aan organisaties in de Verenigde Staten. Partijen konden zich hier al bij aansluiten wanneer ze, op basis van een aantal te nemen stappen, aantoonden te voldoen aan enkele minimum eisen zoals wij die kennen uit de AVG. Bijvoorbeeld het opstellen van een privacyverklaring.

Het Privacy Shield was nodig omdat de Algemene verordening gegevensbescherming (AVG) doorgifte van persoonsgegevens aan personen of organisaties die gevestigd zijn buiten de EER, zoals die in de VS, verbiedt. Doorgifte is dan ook alleen toegestaan naar landen met een passend beschermingsniveau (de VS biedt geen passend beschermingsniveau). In ons blog Aanbevelingen EDPB voor doorgifte persoonsgegevens naar derde landen wordt uitgelegd op welke manier doorgifte van persoonsgegevens naar zogeheten derde landen toch mag plaatsvinden.

Het Hof vond in de zaak Schrems II dat het Privacy Shield onvoldoende bescherming kon garanderen. Dit had te maken met het feit dat de inlichtingen- en veiligheidsdiensten in de VS in sommige gevallen het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. Amerikaanse wetgeving die de deur hiertoe met een aardige kier openzet, gaat in de praktijk voor op wetgeving uit de EU.

Hoewel dat voor ‘ons’ mogelijk vreemd aanvoelt, komen dergelijke wettelijke mogelijkheden in de VS veelal voort uit een andere kijk op privacy, dan dat wij hier hebben in de EU. Privacy wordt in de EU aangemerkt als een grondrecht dat geldt voor iedereen. Volgens Amerikaanse wetgeving is het idee van bescherming van privacy vooral voorbehouden aan Amerikaanse burgers en permanente ingezetenen. Dankzij de nietigheid van het Privacy Shield, moeten aanvullende waarborgen getroffen worden om gegevens alsnog door te mogen geven aan de VS. Aan die rompslomp lijkt nu dus een einde te komen. Of juichen we te vroeg?

Wat houdt deze nieuwe Executive Order in?

Door de Executive Order te ondertekenen lijkt Biden aan te geven de eerdere uitspraken van het Hof te respecteren. De Executive Order voorziet namelijk in het volgende:

  • Bindende waarborgen die zorgen voor een beperking van toegang tot gegevens door de Amerikaanse inlichtingendiensten tot wat noodzakelijk en proportioneel is om de nationale veiligheid te beschermen;
  • Een nieuwe onafhankelijke en onpartijdige beroepsmechanisme, waaronder een nieuwe rechtbank voor gegevensbescherming (DPRC), die ervoor zorgt dat klachten over toegang tot de gegevens door Amerikaanse veiligheidsinstanties zullen worden onderzocht en opgelost;
  • Herziening van het beleid en de procedures van de Amerikaanse inlichtingendienst.

Wat vindt Schrems van deze nieuwe Executive Order?

Schrems, vooral bekend van zijn eerdere zaken tegen de doorgifte mechanismen met de VS en werkzaam bij kantoor NOYB, lijkt vooralsnog – verrassing – niet te spreken over de Executive Order. Hij geeft daarbij aan dat de ‘nieuwe rechtbank’ die wordt opgericht geen echte rechtbank is, omdat het hernoemen van een klachteninstantie tot ‘rechtbank’ het niet daadwerkelijk ook een rechtbank maakt. Schrems geeft hierin ook aan dat de kernproblemen op het eerste gezicht niet opgelost lijken te zijn. Het lijkt er dan ook op dat hij zich weer gaat keren tot het Hof. NOYB heeft verder aangegeven binnen enkele dagen terug te komen met een diepgaande analyse van de Executive Order.

Er valt absoluut wat te zeggen voor de bezwaren van Schrems. Daarnaast is het natuurlijk nog maar de vraag hoe bepaalde woorden als ‘proportioneel’ en ‘noodzakelijk’ (onderdeel van de Executive Order) uitgelegd gaan worden vanuit Amerikaans perspectief. Ook bieden de eerdere pogingen om doorgifte tussen de VS en de EU te stroomlijnen nou niet bepaald veel toekomstperspectief.

Het lijkt erop dat het laatste woord nog niet gezegd is. Schrems lijkt alsnog niet tevreden te zijn met de nieuwe Executive Order. Het is dan ook niet verstandig om deze direct te zien als reddingsboei om maar weer volop gebruik te maken van de Amerikaanse service providers. Dit volgt uit de onzekerheid en de kosten die komen kijken bij het terugdraaien van die beslissing als het voorstel het niet gaat redden of wordt afgeschoten door Schrems en co. Laten we dus inderdaad maar niet te vroeg juichen. In de tussentijd blijven DTIA’s (Data Transfer Impact Assessments) verplicht wanneer je gegevens gaat delen met organisaties buiten de EER.

Bron: ICTrecht

Indien je nog vragen hebt of wilt weten hoe wij andere klanten hiermee geholpen hebben neem dan even contact met ons op.

 

Laatste blogs

microsoft solutions partner modern work
Nieuws
Analyst ICT wederom erkend als Microsoft Solutions Partner voor Modern Work
Met trots mogen wij melden dat Analyst ICT opnieuw is erkend als Microsoft Solutions Partner voor Modern Work. Deze status bevestigt onze inzet voor het leveren van hoogwaardige, superlogische, moderne werkplekoplossingen die organisaties helpen om slimmer, efficiënter en veiliger samen te werken. De erkenning als Solutions Partner betekent dat wij voldoen aan de strenge eisen van Microsoft op het gebied van klanttevredenheid, technische expertise en succesvolle implementaties van Microsoft 365-oplossingen. Denk hierbij aan Microsoft Teams, SharePoint, Exchange Online en Intune – allemaal tools die wij dagelijks inzetten om onze klanten te ondersteunen in hun digitale transformatie. Als Solutions Partner kunnen wij…
NIS2 richtlijn
Nieuws
Waarom Analyst ICT werkt aan NIS2 certificering
Bij Analyst ICT zijn we trots op onze bestaande certificeringen: ISO 27001, ISO 9001 en NEN7510. Deze certificeringen tonen aan dat we voldoen aan internationale normen voor informatiebeveiliging, kwaliteitsmanagement en zorginformatieveiligheid. Maar we stoppen niet daar. We zijn hard aan het werk om ook NIS2-certificering te behalen, en de eerste stappen zijn al gezet. Zo tonen als bewijs dat wij actief werken aan het verkrijgen van de volledige NIS2 Quality Mark Certificering. Dit laat zien dat wij het naleven van de NIS2-richtlijnen en het waarborgen van de veiligheid van onze systemen en gegevens als een superlogische stap beschouwen. Wat is…
Analyst ICT SIEM
Nieuws
Wat is een SIEM en waarom is het een belangrijk onderdeel van onze SOC?
Na onze blog over onze SOC, is het nu tijd om een nieuwe term aan jullie te introduceren namelijk SIEM. In dit superlogische blog leggen we even uit hoe en wat. Bij Analyst ICT zetten we ons dagelijks in om de digitale veiligheid van onze klanten te waarborgen. Met de introductie van ons eigen Security Operations Center (SOC) hebben we een superlogische stap gezet in het versterken van onze dienstverlening. Een cruciaal onderdeel van dit SOC is de SIEM-oplossing. Maar wat is een SIEM precies, en waarom is het zo belangrijk? SIEM uitgelegd: de digitale waakhond SIEM staat voor Security Information…

Een nieuwsbrief

Superlogisch toch?