Opvolger Privacy Shield goedgekeurd: Schrems is weer aan de beurt

Opvolger Privacy Shield goedgekeurd: Schrems is weer aan de beurt

Een opvolger van het Privacy Shield ontving maandag de officiële goedkeuring van de Europese Commissie. Hierdoor kan data over inwoners van de EU opnieuw naar de VS worden doorgestuurd. Doordat het nieuwe raamwerk de VS beter weerhoudt van het opvragen van de data, geloven wetgevers dat de overeenkomst stand zal houden.

Gisteren bracht EU-commissaris voor Justitie, Didier Reynders, tijdens een persconferentie het nieuws dat het EU-US Data Privacy Framework goedkeuring kreeg van de Europese Commissie. Het wettelijk kader komt als een opluchting voor Amerikaanse bedrijven die data van EU-burgers opnieuw legitiem kunnen doorsturen naar de VS.

Ontbreken van kader hield bedrijven niet tegen

In de drie jaar dat regels over dit onderwerp misten, is het niet zo dat er geen data van EU-burgers naar de VS werden doorgezet. De praktijken waren alleen illegaal en dat moest in sommige gevallen hardhandig worden duidelijk gemaakt. Meta ontving vorig jaar bijvoorbeeld een boete van 1,2 miljard euro voor het doorsluizen van gegevens naar de VS, omdat het bedrijf niet kon garanderen dat de verwerkte data voldoende beschermd werd.

In de tussentijd kreeg ook Google Analytics te maken met juridische tegenwind. De dienst werd namelijk illegaal bevonden in Europa doordat het cookie data doorsluiste naar de VS. Volgens de jurdische instellingen van Europa zijn cookie data net zo goed een vorm van persoonsgegevens doordat het IP-adressen bevat.

In de beargumentering voor het besluit werd nog eens aangehaald waarom data van Europese burgers doorsturen naar de VS risico’s inhoudt: “Inlichtingendiensten in de VS kunnen online gegevens als IP-adressen en identificatienummers gebruiken om individuen te surveilleren.” Inlichtingendiensten in de VS hadden het recht om inzage te krijgen in verzamelde gegevens, ook als deze gegevens toebehoorden aan EU-burgers.

Ondertussen werd Universal Analytics volledig afgevoerd en dwingt Google bedrijven om over te stappen naar Google Analytics 4. Al zijn er natuurlijk ook alternatieven op de markt.

In de podcast van deze week bespreken we waarom het al dan niet verstandig is om Google Analytics 4 te gebruiken.

Macht inlichtingendiensten ingeperkt

Het vorige Privacy Shield viel nadat het Europees Hof van Justitie oordeelde dat de data van Europese burgers niet gegarandeerd veilig waren in de VS. Inlichtingendiensten mochten namelijk toegang vragen tot de data en dat vormde een probleem onder de GDPR.

In oktober vorig jaar bracht de Amerikaanse president Joe Biden een oplossing voor dat probleem. Met een besluit beperkte hij de macht van de inlichtingendiensten. Er is nu duidelijk afgesproken welke informatie verzameld mag worden en het handelen van de inlichtingendiensten komen onder strenger toezicht te staan door de oprichting van een Data Protection Review Court.

Het besluit van Biden vormde de hoeksteen waarop het pas goedgekeurde EU-US Data Privacy Framework rust. Onder het nieuwe raamwerk wordt het daarnaast eenvoudiger voor Europese burgers om een klacht over de dataverzameling in te dienen. Eerder diende de aanklager hiervoor te bewijzen dat zijn gegevens werden verzameld.

Opluchting

Voor wetmakers en Amerikaanse bedrijven zal het nieuwe kader als een opluchting komen. Tijdens de persconferentie werd het de goedkeuring dan ook als een positieve evolutie uitgelicht: “Met de goedkeuring van het adequaatheidsbesluit kunnen persoonsgegevens nu vrij en veilig van de Europese Economische Ruimte naar de Verenigde Staten stromen zonder verdere voorwaarden of autorisaties”, zei Reynders. “Daarom zorgt het adequaatheidsbesluit ervoor dat gegevens tussen de Europese Unie en de VS kunnen worden uitgewisseld op basis van een stabiele en vertrouwde regeling die personen beschermt en rechtszekerheid biedt aan bedrijven.”

Volgens de EU-commissaris is er geanticipeerd op de mankementen die het Europese Hof van Justitie deed besluiten het Privacy Shield voor een tweede keer nietig te verklaren. “Dit was mijn mandaat en mijn focus in deze onderhandelingen, en dit wordt weerspiegeld in de oplossingen die we hebben verkregen” stelt hij, waardoor Reynders toch ook deels zijn eigen functie op het spel zet mocht het akkoord de rechterlijke macht niet overleven.

Schrems zal spelen

Het nieuwe akkoord geeft de beurt opnieuw aan de privacyactivist Max Schrems. Hij liet met zijn stichting noyb de twee voorgaande akkoorden over datatransfers al nietig verklaren bij het Europees Hof van Justitie. Ook deze keer zal hij spelen en werd het nieuwe kader in een eerste reactie al bestempeld als ‘grotendeels een kopie van het gefaalde Privacy Shield’.

“De derde poging van de Europese Commissie om tot een stabiel akkoord te komen over de doorgifte van gegevens tussen de EU en de VS, zal waarschijnlijk binnen enkele maanden opnieuw voor het Hof van Justitie komen.”

“Gewoon aankondigen dat iets ‘nieuw’, ‘robuust’ of ‘effectief’ is, is niet voldoende voor het Hof van Justitie. We hebben veranderingen in de Amerikaanse surveillancewet nodig om dit te laten werken – en die hebben we gewoon niet.”

De Europese Commissie plant zelf over een jaar nog eens naar het verdrag te kijken. De Commissie stelt voorop dan nog eens te bekijken of er wijzigingen of verbeteringen aan het verdrag nodig zijn.