2min

De instantie die belast is met de handhaving van de GDPR vindt dat er nog werk aan de winkel is. Het ontwerpbesluit voor een nieuw privacy shield is nog niet goed genoeg.

Deze week heeft de EU-handhaver voor gegevensbescherming zijn bezorgdheid geuit over het ontwerpbesluit voor een nieuw privacy shield. De Europese Commissie heeft een ontwerpbesluit gemaakt waarmee een nieuw kader voor gegevensoverdracht met de Verenigde Staten mogelijk wordt gemaakt.

De Europese Raad voor gegevensbescherming (EDPB) heeft een niet-bindend advies uitgebracht dat het ontwerpbesluit niet ver genoeg gaat om de privacy van Europeanen te beschermen.

EDPB-voorzitter Andrea Jelinek verklaarde: “Hoewel we erkennen dat de verbeteringen van de VS aanzienlijk zijn, is ons advies om de zorgen die er zijn aan te pakken en meer duidelijkheid te bieden om ervoor te zorgen dat het besluit ook standhoudt”.

Derde keer is scheepsrecht?

De geschiedenis van de besluiten die gegevensoverdracht tussen de VS en de EU mogelijk maken is een kwelling in de EU. De VS hadden oorspronkelijk het “Safe Harbor” programma ingevoerd, dat bedoeld was om de privacy van EU-burgers te beschermen. De Europese Commissie vond dat Safe Harbor voldoende privacybescherming bood. Het Europees Hof van Justitie oordeelde vervolgens anders, namelijk dat de Safe Harbor-bescherming onvoldoende was.

De Amerikanen ontwikkelden vervolgens een nieuw privacyprogramma dat zij Privacy Shield noemden. In juli 2020 oordeelde het Europese Hof opnieuw dat de Privacy Shield-regeling ontoereikend was – ook al had de EU deze aanvaard.

In december kwam de Commissie met een ontwerpbesluit waarin zij stelde dat de nieuwe Amerikaanse waarborgen tegen inlichtingenactiviteiten echt voldoende zijn. Hiermee zouden de privacy zorgen in de EU echt zijn weggenomen.

Verzet tegen het nieuwe kader

De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement wil echter niet dat de Commissie een besluit neemt over het voorgestelde EU-VS-pact voor gegevensbescherming. In hun advies concluderen de commissieleden dat het voorgestelde DPF “geen feitelijke gelijkwaardigheid creëert wat betreft het beschermingsniveau” dat wordt geboden krachtens de algemene verordening gegevensbescherming (GDPR) van de EU.

Ook de bekende privacy-activist Max Schrems heeft zich tegen het nieuwe ontwerpbesluit uitgesproken en gezegd dat het waarschijnlijk geen verandering brengt in de manier waarop Amerikaanse inlichtingendiensten via massasurveillance te werk gaan. Schrems stelt in een verklaring dat hij “niet ziet hoe dit besluit een uitdaging zal overleven” en dat de commissie “steeds weer dezelfde besluiten neemt – in strijd met onze grondrechten.”