EC neemt nieuwe privacyregels aan voor datadoorgifte aan VS

De veiligheid van deze nieuwste regelgeving voor Europees-Amerikaanse data-uitwisseling moet gegarandeerd worden door bindende voorwaarden die daarin zijn opgenomen over de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten. Die toegang wordt beperkt tot "wat noodzakelijk en evenredig is", stelt het dagelijkse EU-bestuur. Het struikelpunt was bij de twee voorgangers de omgangsmogelijkheden van de Amerikaanse overheid - en dan specifiek diens inlichtingendiensten - om data te vorderen. Dat zou dan schendingen van Europese privacybescherming inhouden, waardoor strikt genomen Europees gebruik van Amerikaanse datadiensten zoals cloudopslag en SaaS-oplossingen (Software-as-a-Service) niet meer zou mogen.

Klacht tegen Facebook

Het zogeheten 'adequaatheidsbesluit' dat nu is genomen voor het EU-US Data Privacy Framework, moet de status quo van ICT- en cloudgebruik weer juridisch op orde maken. Dit is dus de derde keer dat Brussel de uitwisseling van data tussen de VS en de EU juridisch probeert dicht te timmeren. Het Europese Hof van Justitie verklaarde de twee voorgangers ongeldig qua regelgeving naar aanleiding van klachten die werden ingediend door de inmiddels beroemde privacyactivist Max Schrems. Hij diende een klacht in tegen Facebook, waardoor het Privacy Shield in juli 2020 nietig is verklaard. Die in 2016 overeengekomen overeenkomst voor privacybescherming is na jaren werk tot stand gekomen, maar bleek dus ook niet afdoende.

"Dit nieuwe kader voor gegevensprivacy zal zorgen voor veilige datastromen voor Europeanen en rechtszekerheid bieden aan bedrijven aan beide zijden van de Atlantische Oceaan", zegt commissievoorzitter Ursula von der Leyen nu over de derde poging. Von der Leyen sloot vorig jaar al een principeovereenkomst met de Amerikaanse president Joe Biden over veilige, vrije dataflows naar de VS, zoals berichten op sociale media of de personeelsadministratie van een Amerikaans bedrijf in de EU.

Procedures en praktijk

Vlak voor afgelopen weekend doken er al berichten op dat EU-lidstaten positief zouden hebben gestemd over de adequaatheid van het EU-US Data Privacy Framework. Dat betrof echter niet een definitieve acceptatie, maar 'slechts' de benodigde overeenstemming over het concept vóórdat de Europese Commissie zich erover kan buigen. Dat is daarna dus gebeurd wat nu heeft geleid tot omarming van het adequaatheidsbesluit. Ondanks de geruststellende woorden vanuit de EC is het nu de vraag hoe stabiel en houdbaar deze nieuwste privacyregels voor datadoorgifte naar de Verenigde Staten in de praktijk zullen zijn.