Eind maart hebben de Europese Unie en de Verenigde Staten een principeakkoord bereikt over een nieuw “EU-US Privacy Shield”. De voorzitter van de Europese Commissie zei over het nieuwe principeakkoord: “This will enable predictable and trustworthy data flows between the EU and US, safeguarding privacy and civil liberties.” Door deze nieuwe afspraken wordt het opnieuw mogelijk om (veilig) persoonsgegevens over te dragen van de EU naar de VS. De afgelopen twee jaar waren alle verzendingen van persoonsgegevens vanuit EU-landen naar de VS op grond van het Privacy Shield namelijk onrechtmatig. In deze blog wordt toegelicht wat de reden hiervoor was en wordt het EU-US Privacy Shield nader toegelicht.
Privacy Shield
De AVG waarborgt een hoog beschermingsniveau voor persoonsgegevens. Dit geldt ook wanneer deze worden doorgegeven naar landen buiten de Europese Economische Ruimte (“derde landen”). De persoonsgegevens uit EU-landen mogen enkel onder strikte regels worden doorgegeven aan deze “derde landen”. Uitgaande van deze regels kunnen verwerkingsverantwoordelijken en verwerkers gebruik maken van verschillende doorgiftemechanismen:
- Op basis van een door de Europese Commissie afgegeven beschikking, waarin is vastgesteld dat een derde land beschikt over een passend beschermingsniveau (“adequaatheidsbesluit”);
- Aan de hand van de door de Europese Commissie vastgestelde of goedgekeurde standaardbepalingen inzake gegevensbescherming, zogeheten “SCC’s”.
Doorgifte persoonsgegevens
Het EU-US Privacy Shield is een voorbeeld van het eerstgenoemde doorgiftemechanisme. Onder het (oorspronkelijke) EU-US Privacy Shield hadden de EU en de VS afspraken gemaakt over de doorgifte van persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten, gegevensbescherming en privacy van Europese burgers. Het EU-US Privacy Shield werd door de Europese Commissie goedgekeurd. Hierdoor konden de persoonsgegevens vanuit EU-landen veilig én rechtmatig naar de VS doorgegeven worden.
Europese Hof van Justitie
Door een uitspraak van het Europese Hof van Justitie medio 2020 veranderde dit. Het Hof oordeelde dat de veiligheid van persoonsgegevens in de VS onvoldoende gewaarborgd was. Dit voornamelijk omdat Amerikaanse inlichtingen- en veiligheidsdiensten het recht hadden om gegevens van EU-burgers in te zien en te gebruiken. Het Hof verklaarde het Privacy Shield daarom ongeldig. Na deze uitspraak van het Hof waren de EU en de VS genoodzaakt opnieuw in onderhandeling te treden over de privacy-afspraken tussen de verschillende landen. Dit heeft uiteindelijk geresulteerd in een nieuw principeakkoord tussen de EU en de VS.
Hoe nu verder?
Het EU-US Privacy Shield 2.0 is vooralsnog enkel een principeakkoord. De exacte details van de vernieuwde afspraken zijn nog niet bekend gemaakt. Het zal naar verwachting nog maanden duren voordat het principeakkoord is vormgegeven in een definitief juridisch document. In de tussentijd houden wij u vanzelfsprekend op de hoogte van de ontwikkelingen omtrent het Privacy Shield en de gevolgen hiervan.
Meer informatie
Heeft u alvast vragen over het principeakkoord of over de overdracht van persoonsgegevens vanuit Europese landen naar de Verenigde Staten, neem dan contact op met een van de specialisten van Team Privacy. Wij helpen u graag verder!
April 2022
