logo (1)logo
Support

Mogen persoonsgegevens weer naar de VS?

Onderstaand blog artikel (orgineel van ICT-recht) leek ons superlogisch om te delen. Als Analyst ICT vinden wij het belangrijk dat er goed nagedacht wordt over waar, en wat er met je data gebeurt. Zoals je eerder in het nieuws hebt kunnen volgen is er nogal wat te doen over het opslaan van data in de US. Hieronder een overzicht van de laatst ontwikkelingen.

Op 7 oktober 2022 heeft de Amerikaanse president Biden een Executive Order ondertekend als volgende stap naar het oprichten van een opvolger van het in 2020 ongeldig verklaarde EU-VS Privacy Shield. In deze blog wordt uitgelegd waarom de noodzaak bestond om tot een nieuw akkoord te komen, wat deze Executive Order nou precies inhoudt en wat kritische denkers als Max Schrems vinden van dergelijke nieuwe mechanismen van doorgifte tussen de EU en de VS.

Waarom een Executive Order?

In de Schrems II zaak heeft het Hof van Justitie van de Europese Unie (het Hof) het EU-VS Privacy Shield ongeldig verklaard. Dankzij het Privacy Shield konden organisaties binnen de EU persoonsgegevens doorgeven aan organisaties in de Verenigde Staten. Partijen konden zich hier al bij aansluiten wanneer ze, op basis van een aantal te nemen stappen, aantoonden te voldoen aan enkele minimum eisen zoals wij die kennen uit de AVG. Bijvoorbeeld het opstellen van een privacyverklaring.

Het Privacy Shield was nodig omdat de Algemene verordening gegevensbescherming (AVG) doorgifte van persoonsgegevens aan personen of organisaties die gevestigd zijn buiten de EER, zoals die in de VS, verbiedt. Doorgifte is dan ook alleen toegestaan naar landen met een passend beschermingsniveau (de VS biedt geen passend beschermingsniveau). In ons blog Aanbevelingen EDPB voor doorgifte persoonsgegevens naar derde landen wordt uitgelegd op welke manier doorgifte van persoonsgegevens naar zogeheten derde landen toch mag plaatsvinden.

Het Hof vond in de zaak Schrems II dat het Privacy Shield onvoldoende bescherming kon garanderen. Dit had te maken met het feit dat de inlichtingen- en veiligheidsdiensten in de VS in sommige gevallen het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. Amerikaanse wetgeving die de deur hiertoe met een aardige kier openzet, gaat in de praktijk voor op wetgeving uit de EU.

Hoewel dat voor ‘ons’ mogelijk vreemd aanvoelt, komen dergelijke wettelijke mogelijkheden in de VS veelal voort uit een andere kijk op privacy, dan dat wij hier hebben in de EU. Privacy wordt in de EU aangemerkt als een grondrecht dat geldt voor iedereen. Volgens Amerikaanse wetgeving is het idee van bescherming van privacy vooral voorbehouden aan Amerikaanse burgers en permanente ingezetenen. Dankzij de nietigheid van het Privacy Shield, moeten aanvullende waarborgen getroffen worden om gegevens alsnog door te mogen geven aan de VS. Aan die rompslomp lijkt nu dus een einde te komen. Of juichen we te vroeg?

Wat houdt deze nieuwe Executive Order in?

Door de Executive Order te ondertekenen lijkt Biden aan te geven de eerdere uitspraken van het Hof te respecteren. De Executive Order voorziet namelijk in het volgende:

  • Bindende waarborgen die zorgen voor een beperking van toegang tot gegevens door de Amerikaanse inlichtingendiensten tot wat noodzakelijk en proportioneel is om de nationale veiligheid te beschermen;
  • Een nieuwe onafhankelijke en onpartijdige beroepsmechanisme, waaronder een nieuwe rechtbank voor gegevensbescherming (DPRC), die ervoor zorgt dat klachten over toegang tot de gegevens door Amerikaanse veiligheidsinstanties zullen worden onderzocht en opgelost;
  • Herziening van het beleid en de procedures van de Amerikaanse inlichtingendienst.

Wat vindt Schrems van deze nieuwe Executive Order?

Schrems, vooral bekend van zijn eerdere zaken tegen de doorgifte mechanismen met de VS en werkzaam bij kantoor NOYB, lijkt vooralsnog – verrassing – niet te spreken over de Executive Order. Hij geeft daarbij aan dat de ‘nieuwe rechtbank’ die wordt opgericht geen echte rechtbank is, omdat het hernoemen van een klachteninstantie tot ‘rechtbank’ het niet daadwerkelijk ook een rechtbank maakt. Schrems geeft hierin ook aan dat de kernproblemen op het eerste gezicht niet opgelost lijken te zijn. Het lijkt er dan ook op dat hij zich weer gaat keren tot het Hof. NOYB heeft verder aangegeven binnen enkele dagen terug te komen met een diepgaande analyse van de Executive Order.

Er valt absoluut wat te zeggen voor de bezwaren van Schrems. Daarnaast is het natuurlijk nog maar de vraag hoe bepaalde woorden als ‘proportioneel’ en ‘noodzakelijk’ (onderdeel van de Executive Order) uitgelegd gaan worden vanuit Amerikaans perspectief. Ook bieden de eerdere pogingen om doorgifte tussen de VS en de EU te stroomlijnen nou niet bepaald veel toekomstperspectief.

Het lijkt erop dat het laatste woord nog niet gezegd is. Schrems lijkt alsnog niet tevreden te zijn met de nieuwe Executive Order. Het is dan ook niet verstandig om deze direct te zien als reddingsboei om maar weer volop gebruik te maken van de Amerikaanse service providers. Dit volgt uit de onzekerheid en de kosten die komen kijken bij het terugdraaien van die beslissing als het voorstel het niet gaat redden of wordt afgeschoten door Schrems en co. Laten we dus inderdaad maar niet te vroeg juichen. In de tussentijd blijven DTIA’s (Data Transfer Impact Assessments) verplicht wanneer je gegevens gaat delen met organisaties buiten de EER.

Bron: ICTrecht

Indien je nog vragen hebt of wilt weten hoe wij andere klanten hiermee geholpen hebben neem dan even contact met ons op.

 

Recent blogs

AI act
Blog
De AI Act: wat is er veranderd sinds augustus 2025?
ICT wordt simpeler en menselijker ook als het gaat om kunstmatige intelligentie (AI). Met de komst van de Europese AI Act moeten organisaties in Europa zorgvuldiger omgaan met AI-toepassingen. De wet wordt in fases ingevoerd en sinds 2 augustus 2025 gelden er nieuwe verplichtingen. Wat is er veranderd en wat betekent dit voor uw organisatie? Wat hield de eerste fase in? In februari 2025 ging de eerste fase van de AI Act van start. De focus lag toen vooral op: Bewustwording en basiskennis van AI in organisaties. Het vermijden van verboden AI-toepassingen (de categorie onacceptabel risico). Het onderstrepen dat niet…
microsoft 365 copilot
Blog
Maak uw werk makkelijker met Microsoft Copilot: concrete voorbeelden
ICT is soms complex, maar technologie kan ook juist veel eenvoudiger maken. Een mooi voorbeeld daarvan is Microsoft Copilot. Deze slimme assistent zit verwerkt in de Microsoft 365-apps die u waarschijnlijk al dagelijks gebruikt: Outlook, Word, Excel, Teams en meer. Copilot helpt u om sneller te werken, tijd te besparen en overzicht te houden. Zeker voor kleine bedrijven is dat waardevol, want daar is de werkdruk vaak hoog en zijn er weinig handen. Wij zetten de belangrijkste voordelen én concrete voorbeelden op een rij. Wat is Microsoft Copilot? Copilot is een digitale assistent op basis van kunstmatige intelligentie. Hij “denkt”…
Blog
Belangrijke wijziging vanaf 1 november: Microsoft 365 / Office 365 licenties splitsen in pakketten mét en zonder Teams
Sinds kort heeft Microsoft aangekondigd dat er per 1 november 2025 een ingrijpende wijziging plaatsvindt in de manier waarop je Microsoft 365 en Office 365 licenties kunt afnemen. Voor organisaties betekent dit meer keuzevrijheid en de mogelijkheid om te besparen mits je weet wat de gevolgen zijn. Wat verandert er precies? Microsoft gaat de bestaande pakketten opdelen in varianten met Teams en zonder Teams.   Voor elk abonnement wordt aangegeven wat het prijsverschil is tussen de versie met Teams en de versie zonder.   Teams blijft ook beschikbaar als zelfstandige dienst via gespecialiseerde abonnementen zoals Teams Essentials en Teams Enterprise.   Microsoft belooft nieuwe hulpmiddelen om data uit Teams te exporteren…

A newsletter

Superlogic right?