Mogen persoonsgegevens weer naar de VS?

19 October 2022

Onderstaand blog artikel (orgineel van ICT-recht) leek ons superlogisch om te delen. Als Analyst ICT vinden wij het belangrijk dat er goed nagedacht wordt over waar, en wat er met je data gebeurt. Zoals je eerder in het nieuws hebt kunnen volgen is er nogal wat te doen over het opslaan van data in de US. Hieronder een overzicht van de laatst ontwikkelingen.

Op 7 oktober 2022 heeft de Amerikaanse president Biden een Executive Order ondertekend als volgende stap naar het oprichten van een opvolger van het in 2020 ongeldig verklaarde EU-VS Privacy Shield. In deze blog wordt uitgelegd waarom de noodzaak bestond om tot een nieuw akkoord te komen, wat deze Executive Order nou precies inhoudt en wat kritische denkers als Max Schrems vinden van dergelijke nieuwe mechanismen van doorgifte tussen de EU en de VS.

Waarom een Executive Order?

In de Schrems II zaak heeft het Hof van Justitie van de Europese Unie (het Hof) het EU-VS Privacy Shield ongeldig verklaard. Dankzij het Privacy Shield konden organisaties binnen de EU persoonsgegevens doorgeven aan organisaties in de Verenigde Staten. Partijen konden zich hier al bij aansluiten wanneer ze, op basis van een aantal te nemen stappen, aantoonden te voldoen aan enkele minimum eisen zoals wij die kennen uit de AVG. Bijvoorbeeld het opstellen van een privacyverklaring.

Het Privacy Shield was nodig omdat de Algemene verordening gegevensbescherming (AVG) doorgifte van persoonsgegevens aan personen of organisaties die gevestigd zijn buiten de EER, zoals die in de VS, verbiedt. Doorgifte is dan ook alleen toegestaan naar landen met een passend beschermingsniveau (de VS biedt geen passend beschermingsniveau). In ons blog Aanbevelingen EDPB voor doorgifte persoonsgegevens naar derde landen wordt uitgelegd op welke manier doorgifte van persoonsgegevens naar zogeheten derde landen toch mag plaatsvinden.

Het Hof vond in de zaak Schrems II dat het Privacy Shield onvoldoende bescherming kon garanderen. Dit had te maken met het feit dat de inlichtingen- en veiligheidsdiensten in de VS in sommige gevallen het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. Amerikaanse wetgeving die de deur hiertoe met een aardige kier openzet, gaat in de praktijk voor op wetgeving uit de EU.

Hoewel dat voor ‘ons’ mogelijk vreemd aanvoelt, komen dergelijke wettelijke mogelijkheden in de VS veelal voort uit een andere kijk op privacy, dan dat wij hier hebben in de EU. Privacy wordt in de EU aangemerkt als een grondrecht dat geldt voor iedereen. Volgens Amerikaanse wetgeving is het idee van bescherming van privacy vooral voorbehouden aan Amerikaanse burgers en permanente ingezetenen. Dankzij de nietigheid van het Privacy Shield, moeten aanvullende waarborgen getroffen worden om gegevens alsnog door te mogen geven aan de VS. Aan die rompslomp lijkt nu dus een einde te komen. Of juichen we te vroeg?

Wat houdt deze nieuwe Executive Order in?

Door de Executive Order te ondertekenen lijkt Biden aan te geven de eerdere uitspraken van het Hof te respecteren. De Executive Order voorziet namelijk in het volgende:

Bindende waarborgen die zorgen voor een beperking van toegang tot gegevens door de Amerikaanse inlichtingendiensten tot wat noodzakelijk en proportioneel is om de nationale veiligheid te beschermen;
Een nieuwe onafhankelijke en onpartijdige beroepsmechanisme, waaronder een nieuwe rechtbank voor gegevensbescherming (DPRC), die ervoor zorgt dat klachten over toegang tot de gegevens door Amerikaanse veiligheidsinstanties zullen worden onderzocht en opgelost;
Herziening van het beleid en de procedures van de Amerikaanse inlichtingendienst.

Wat vindt Schrems van deze nieuwe Executive Order?

Schrems, vooral bekend van zijn eerdere zaken tegen de doorgifte mechanismen met de VS en werkzaam bij kantoor NOYB, lijkt vooralsnog – verrassing – niet te spreken over de Executive Order. Hij geeft daarbij aan dat de ‘nieuwe rechtbank’ die wordt opgericht geen echte rechtbank is, omdat het hernoemen van een klachteninstantie tot ‘rechtbank’ het niet daadwerkelijk ook een rechtbank maakt. Schrems geeft hierin ook aan dat de kernproblemen op het eerste gezicht niet opgelost lijken te zijn. Het lijkt er dan ook op dat hij zich weer gaat keren tot het Hof. NOYB heeft verder aangegeven binnen enkele dagen terug te komen met een diepgaande analyse van de Executive Order.

Er valt absoluut wat te zeggen voor de bezwaren van Schrems. Daarnaast is het natuurlijk nog maar de vraag hoe bepaalde woorden als ‘proportioneel’ en ‘noodzakelijk’ (onderdeel van de Executive Order) uitgelegd gaan worden vanuit Amerikaans perspectief. Ook bieden de eerdere pogingen om doorgifte tussen de VS en de EU te stroomlijnen nou niet bepaald veel toekomstperspectief.

Het lijkt erop dat het laatste woord nog niet gezegd is. Schrems lijkt alsnog niet tevreden te zijn met de nieuwe Executive Order. Het is dan ook niet verstandig om deze direct te zien als reddingsboei om maar weer volop gebruik te maken van de Amerikaanse service providers. Dit volgt uit de onzekerheid en de kosten die komen kijken bij het terugdraaien van die beslissing als het voorstel het niet gaat redden of wordt afgeschoten door Schrems en co. Laten we dus inderdaad maar niet te vroeg juichen. In de tussentijd blijven DTIA’s (Data Transfer Impact Assessments) verplicht wanneer je gegevens gaat delen met organisaties buiten de EER.

Bron: ICTrecht

Indien je nog vragen hebt of wilt weten hoe wij andere klanten hiermee geholpen hebben neem dan even contact met ons op.

Recent blogs

Blog

Scannen en mailen met uw Toshiba-printer blijft gewoon werken

Ook na de nieuwe Microsoft-wijzigingen Misschien heeft u het al gelezen: Microsoft stopt binnenkort met een verouderde manier van e-mailverzending (zogenoemde SMTP basic authentication). Dit kan gevolgen hebben voor printers en scanners die documenten per e-mail versturen, zoals veel Toshiba-multifunctionals en andere multifunctionals. Dat klinkt spannend,maar het goede nieuws is: voor klanten van Analyst ICT is dit geen probleem. Wij hebben hier al een veilige, toekomstbestendige oplossing voor. Wat is er precies aan de hand? Veel printers versturen e-mail via een directe koppeling met Microsoft 365, met een gebruikersnaam en wachtwoord. Microsoft vindt deze methode niet meer veilig en schakelt…

Blog

Waarom computers en ICT-apparatuur binnenkort duurder worden

Recent nieuws (o.a. NOS) bevestigt wat we al langere tijd aan zien komen: laptops, desktops en andere ICT-apparaten dreigen flink duurder te worden. De belangrijkste oorzaak? Een enorme prijsstijging van één cruciaal onderdeel: werkgeheugen (RAM). Wat gebeurt er? De prijs van werkgeheugen — een essentieel onderdeel in vrijwel alle moderne computers en mobiele apparaten — is de afgelopen maanden ongeveer drie keer zo hoog geworden. Die stijgende prijzen hebben meerdere oorzaken, maar een van de grootste is de groeiende vraag vanuit datacenters en bedrijven die investeren in artificial intelligence (AI). Deze systemen hebben enorme hoeveelheden geheugen nodig, waardoor leveranciers hun…

News

Analyst ICT sleept FD Gazelle-hattrick binnen: drie jaar op rij bij de snelst groeiende bedrijven

Afgelopen dinsdag was het weer zover: de uitreiking van de FD Gazellen 2025. En ja hoor — Analyst ICT stond opnieuw op het podium. Voor het derde jaar op rij mogen we ons een FD Gazelle noemen. En dit jaar zelfs hoger dan verwacht: plek 41 in de categorie kleine bedrijven binnen regio Zuid. Een prachtige erkenning waar we ontzettend trots op zijn. Drie jaar op rij groeien: wat betekent dit voor ons? De FD Gazellen Award wordt alleen uitgereikt aan bedrijven die structureel én gezond groeien. Dat we deze titel in 2023, 2024 én 2025 mogen voeren, zegt veel…