Data Privacy Framework: het nieuwe data uitwisselingsverdrag tussen de EU en de VS

Data Privacy Framework: het nieuwe data uitwisselingsverdrag tussen de EU en de VS

Bijna 3 jaar hebben de onderhandelingen tussen de EU en de VS geduurd over een nieuw uitwisselingsverdrag. Op 16 juli 2020 werd de voorganger van de Data Privacy Framework, het Privacy Shield, door het Europees Hof van Justitie ongeldig verklaard. En op 11 juli 2023 zag het Data Privacy Framework het licht.

Waarom hebben we een uitwisselingsverdrag nodig?

Organisaties wisselen constant persoonsgegevens uit. Met de invoering van de AVG zijn de eisen voor bescherming van persoonsgegevens van Europese burgers verscherpt. De AVG biedt waarborgen voor veilige ( technische en organisatorische) beveiligingsmaatregelen voor de overdracht van persoonsgegevens. Technische beveiligingsmaatregelen zijn bijv. goede wachtwoorden, een firewall etc. En organisatorische beveiligingsmaatregelen zijn bijv. dat de medewerkers die toegang hebben tot de persoonsgegevens op basis van het need-to-know principe, zij goede geheimhoudingsbedingen en datalekbedingen hebben getekend.

Binnen de EU is elke organisatie verplicht aan de AVG te voldoen. Bedrijven die persoonsgegevens verzenden hoeven dan slechts een beperkte check uit te voeren en mogen er verder vanuit gaan dat de ontvangers van persoonsgegevens aan de AVG voldoen.

Buiten de EU dient de verzendende partij zich er zeker van te zijn dat het beveiligingsniveau van de persoonsgegevens adequaat is. De EU geeft daarvoor per land een adequaatheidsbesluit af.

Het adequaatheidsbesluit dat voor 2020 werd afgegeven voor uitwisseling van persoonsgegevens met de VS heet het Privacy Shield.

Reden ongeldig verklaring Privacy Shield

Op 16 juli 2020 is door het Europees Hof van Justitie het EU-VS-Privacy Shield ongeldig verklaard. Het Privacy Shield bood niet de bescherming die de AVG eiste. Het grootste probleem met Privacy Shield was dat Amerikaanse inlichtingendiensten de mogelijkheid hadden om bij Europese persoonsgegevens te komen.

Inhoud/ werkwijze Data Privacy Framework

Sinds 11 juli 2023 geldt het Data Privacy Framework (DPF). Dit adequaatheidsbesluit zorgt ervoor dat persoonsgegevens veilig kunnen worden uitgewisseld met bedrijven in de VS, indien wordt voldaan aan de werkwijze van de DPF.

Als je als bedrijf persoonsgegevens aan een Amerikaanse partij wilt uitwisselen, houdt dan rekening met de volgende stappen:

  • Controleer of de Amerikaanse partij in het DPF-register staat
  • Zo ja, controleer dan of een specifiek product (voornamelijk bij grote organisaties) ook onder de DPF valt
  • Zo ja: dan kan je persoonsgegevens doorgeven naar deze partij zonder verdere voorwaarden
  • Wanneer de organisatie niet in het DPF – register staat of het product valt niet onder de DPF, maak dan gebruik van een ander doorgiftemechanisme, zoals de Standard Contract Clauses (SCC) of de Binding Corporate Rules (BCR).

Voer in dat geval ook een risicoanalyse via een Data Transfer Impact Assessment (DTIA) uit.

Een andere, gunstige consequentie onder de DPF is dat Europese burgers direct bezwaar kunnen aantekenen bij de European Data Protection Board (de EDPB). De EDPB zorgt er dan voor dat de klachten naar de VS worden gezonden en daar worden beoordeeld volgens een vastgesteld juridisch traject.

 

Heb je verdere vragen over dit onderwerp of hulp nodig, neem dan contact op met je accountjurist of bel naar 088-1331133 of mail naar service@deraadgevers.nl

 

Start typing and press Enter to search