De veranderingen in het kort
Het nieuwe Trans-Atlantische DPF vervangt het Privacy Shield dat sinds een uitspraak van het Europese Hof in 2020 onhoudbaar bleek te zijn. Deze zogeheten Schrems 2 uitspraak draaide om de onrechtmatige toegang die Amerikaanse inlichtingendiensten hadden tot persoonsgegevens van EU-burgers, zoals bleek uit de onthullingen van Edward Snowden.
Met het van kracht worden van het DPF (ook wel Privacy Shield 2.0 genoemd) worden de VS geacht hetzelfde beschermingsniveau te hebben als het gaat om persoonsgegevens als landen in de Europese Economische Ruimte (EER).
Met dit zogeheten “adequacy” besluit kunnen persoonsgegevens met organisaties in de VS worden gedeeld zonder extra waarborgen: standard contractual clauses of binding corporate rules en het uitvoeren van een risico assessment (de zogeheten transfer impact analysis).
Wel gelden voorwaarden voor het gebruikmaken van het DPF: bedrijven in de VS moeten zich registreren bij de Amerikaanse overheid en zich daarmee vrijwillig onderwerpen aan de Europese privacyregelgeving. Daarnaast geldt de verplichting voor een (jaarlijkse) zelfcertifciering en het opnemen van een verwijzing naar het DPF in de privacy statement.
Waarom is dat belangrijk?
Bijna iedere Nederlandse financiële instelling maakt gebruik van Amerikaanse verwerkers. Of het nu Microsoft, Google, Dropbox of Amazon is, je kunt er bijna niet omheen. Sinds de buitenwerkingstelling van Privacy Shield moet voor iedere verwerking het bovenstaande waarborgriedeltje worden afgedraaid.
In de praktijk gebeurt dit echter zelden of nooit. Zeker gezien het feit dat het nieuwe DPF al tijdje in de lucht hangt. Ook de Autoriteit Persoonsgegevens hield zich waarschijnlijk daarom opvallend stil over dit onderwerp. Een uitspraak over de rechtmatigheid van het gebruik van Google Analytics bleef, ondanks een aankondiging, uit. Dit terwijl toezichthouders in Oostenrijk, Frankrijk en heel recent Noorwegen, het gebruik van Google Analytics als onrechtmatig hebben bestempeld.
Wat betekent het EU-US Data Privacy Framework in de praktijk?
Het in werking treden van het DPF betekent dat het delen van persoonsgegevens met de VS makkelijker wordt. Wel geldt er een aantal spelregels:
- Check of de gegevens door de verwerker daadwerkelijk in de VS worden verwerkt;
- Check of de verwerker zich heeft geregistreerd;
- Check of de verwerker de verwijzing naar het DPF heeft aangebracht in het privacy statement.
Als een verwerker zich niet heeft geregistreerd, gelden alsnog de regels voor landen die geen adequacy besluit hebben.
Is driemaal inderdaad scheepsrecht?
De vraag is of ditmaal de afspraken tussen de EU en de VS wel standhouden bij het Europese Hof van Justitie.
Dezelfde privacy activist, de Oostenrijker Max Schrems, die verantwoordelijk was voor het einde van Privacy Shield heeft al stappen aangekondigd.
De belangrijkste klacht is dat de aanpassingen ten opzichte van Privacy Shield vooral cosmetisch zijn en dat er in de praktijk weinig zal veranderen. De extra waarborgen, zoals de mogelijkheid om een klacht in te dienen en de behandeling daarvan door een onafhankelijk orgaan, worden gezien als onvoldoende.
Naar verwachting zal de zaak in 2024 aanhangig worden gemaakt bij het Europese Hof van Justitie. Tot die tijd is het DPF in ieder geval van kracht. De vraag blijft voor hoelang.
Meer weten?
Meer weten over de Nederlandse privacywetgeving? Volg dan onze AVG Awareness training. Na afronding van de e-learning bent u bekend met de privacyregels en weet u in de praktijk om te gaan met persoonsgegevens, datalekken en de rechten van betrokkenen.
Voor vragen over het EU-US Data Privacy Framework kunt u contact opnemen met onze consultants.
Contact