Nieuwe afspraken voor datadoorgifte richting VS
De Europese Unie en de Verenigde Staten hebben een principeakkoord gesloten voor de veilige doorgifte van persoonsgegevens. Dat is nodig, omdat het Europese Hof van Justitie een eerder verdrag voor datadoorgifte naar de prullenbak heeft verwezen.
De regels voor het veilig uitwisselen van persoonsgegevens (infographic) zijn in Europa vastgelegd in de inmiddels welbekende Algemene verordening gegevensbescherming (AVG). Die schrijft onder meer voor dat landen waar de Europese persoonsgegevens heen gaan een ‘passend’ beveiligingsniveau moeten bieden.
Hof verklaart privacyverdrag nietig
Op dat punt is het vorige verdrag tussen de EU en de VS enkele jaren geleden gesneuveld. Het Europese Hof van Justitie heeft toen dit zogeheten Privacy Shield-verdrag nietig verklaard. Amerikaanse autoriteiten hebben namelijk meer toegang tot Europese gegevens dan volgens de Europese maatstaven mag, oordeelde het Hof.
Sindsdien mogen Europese organisaties de doorgifte van gegevens richting de VS niet meer simpelweg baseren op het Privacy Shield-verdrag. Data (laten) opslaan in de VS kan nog altijd, maar daar moeten organisaties dan bij het opstellen van contracten flink meer moeite in steken (artikel). Een andere route is een Europees alternatief zoeken voor bijvoorbeeld clouddiensten uit de VS.
Toegang veiligheidsdiensten VS ‘beperkt’
Inmiddels zijn de EU en de VS het eens over de uitgangspunten voor een nieuw verdrag: het Trans-Atlantic Data Privacy Framework. Eén van die uitgangspunten gaat over de toegang die Amerikaanse veiligheidsdiensten hebben tot Europese data. Die toegang wordt beperkt tot wat ‘noodzakelijk en proportioneel’ is voor het beschermen van de nationale veiligheid van de VS. Ook komen er bijvoorbeeld strenge regels voor ondernemingen die Europese gegevens willen verwerken. Met deze afspraken willen de EU en de VS zorgen dat veilige doorgifte van data voor lange tijd verzekerd is. Maar het lijkt erop dat organisaties voorlopig nog hun huidige werkwijze moeten aanhouden. Want hoe de afspraken er uiteindelijk in de praktijk uit komen te zien moet zich nog uitkristalliseren. De eerste vervolgstap is nu namelijk dat de uitgangspunten in juridische documenten worden vertaald, en dan moet de uiteindelijke invoering nog beginnen. Een concrete invoeringsdatum is er nog niet.