Wat is het nieuwe EU-US Data Privacy Framework?

De inwerkingtreding van het EU-US Data Privacy Framework (DPF) op 10 juli 2023 markeert een belangrijke verschuiving in trans-Atlantische gegevensoverdrachten. Het adequaatheidsbesluit van de Europese Commissie erkent dat de Verenigde Staten een “in wezen gelijkwaardig” beschermingsniveau voor persoonsgegevens bieden, zoals vereist door de General Data Protection Regulation (GDPR). Dit nieuwe raamwerk vervangt het ongeldig verklaarde EU-US Privacy Shield en is in lijn met de vereisten die zijn vastgelegd in Schrems II (CJEU, 2020).

Belangrijkste bevindingen:

• Certificering en naleving:
  In aanmerking komende Amerikaanse bedrijven kunnen hun naleving van de DPF-principes zelf certificeren via het portaal van het US Department of Commerce. Certificering vereist een jaarlijkse herbevestiging en een openbare verklaring van naleving, wat de transparantie en verantwoordingsplicht vergroot (Europese Commissie, 2023).

• Automatische overdracht:
  Organisaties die voorheen gecertificeerd waren onder het EU-US Privacy Shield worden automatisch opgenomen in het DPF-programma, waardoor de overgangsrisico's op het gebied van naleving worden beperkt.

• Beroepsmogelijkheden:
  Het raamwerk introduceert een onafhankelijke Data Protection Review Court (DPRC), die EU-burgers in staat stelt verhaal te halen voor vermeende onjuiste behandeling van hun gegevens door Amerikaanse autoriteiten. Dit pakt eerdere zorgen van het CJEU aan over het gebrek aan rechtsmiddelen (Schrems II, 2020).

• Toegang door de Amerikaanse overheid:
  Executive Order 14086 stelt juridisch bindende waarborgen vast die de toegang van Amerikaanse inlichtingendiensten tot persoonsgegevens van de EU beperken. Deze waarborgen zijn ontworpen om “noodzakelijk en proportioneel” te zijn, in lijn met de GDPR-normen (Witte Huis, 2022).

• Doorlopende monitoring:
  De Europese Commissie zal, in samenwerking met de EU-gegevensbeschermingsautoriteiten, periodieke evaluaties van het DPF uitvoeren om de effectiviteit en naleving ervan te beoordelen.

Belangrijke resultaten:

• Verhoogde rechtszekerheid voor bedrijven die zich bezighouden met trans-Atlantische gegevensstromen.
• Verbeterde bescherming voor de persoonsgegevens van EU-burgers.
• Hersteld vertrouwen in de digitale handelsbetrekkingen tussen de VS en de EU.

Belangenorganisaties voor gegevensprivacy blijven echter sceptisch. Zij stellen dat fundamentele hervormingen op het gebied van surveillance in de VS nog steeds ontbreken en dat verdere juridische stappen worden verwacht. De praktische doeltreffendheid van de DPRC en de proportionaliteit van de Amerikaanse surveillance zullen waarschijnlijk de levensvatbaarheid van het raamwerk op de lange termijn bepalen.

Referenties

• Europese Commissie. (2023). Persbericht: EU-US Data Privacy Framework aangenomen. Link
• Witte Huis. (2022). Executive Order 14086. Link