Op 10 juli 2023 kondigde de Europese Commissie een nieuwe overeenkomst aan die de gegevensstroom tussen de VS en de EU regelt onder de naam Data Privacy Framework (DPF). Het is een broodnodige ontwikkeling gezien het belang van gegevensoverdracht in de wereldeconomie. Maar vele kwesties rond deze nieuwe overeenkomst doen twijfels rijzen over de duurzaamheid ervan.
Privacywaakhonden, waaronder Max Schrems, één van de hoofdrolspelers achter de afwijzing van Safe Harbor en Privacy Shield, beweren dat de nieuwe overeenkomst geen schijn van kans maakt tegen het Hof van Justitie van de Europese Unie (HvJEU). Hoe gaat de toekomst van de trans-Atlantische gegevensoverdracht er dan uitzien?
Lees het verhaal van de vorige adequaatheidsovereenkomsten om de onderliggende problemen met gegevensoverdracht tussen de EU en de VS te begrijpen. Lees vervolgens de details over het nieuwe kader en de mogelijke gevolgen voor bedrijven in de EU en de VS.
En waarom hebben we überhaupt een EU-VS adequaatheidsbesluit nodig?
Er is een groot verschil tussen de manier waarop de VS en de EU omgaan met de privacyrechten van individuen.
De EU-wetgeving waarborgt de privacy van individuen met wetten zoals AVG, de ePrivacy-richtlijn en het Handvest van de Grondrechten van de Europese Unie (CFR). En sinds 1995 verbiedt de EU-wetgeving de overdracht van persoonlijke gegevens buiten de EU, tenzij het land van bestemming een gelijkwaardige privacybescherming biedt.
In het rechtssysteem van de VS ontbreekt een dergelijk uitgebreid privacykader. Hoewel het Vierde Amendement de privacy van Amerikaanse burgers beschermt, hebben personen uit andere landen en regio’s, zoals Europa, niet dezelfde mate van bescherming. Bovendien heeft de Amerikaanse overheid haar instanties gemachtigd om massale surveillance uit te voeren op niet-Amerikanen volgens wetten als de Foreign Intelligence Surveillance Act van 1978 (FISA 702) en Executive Order 12.333.
Deze kloven in de benadering van de privacy van inwoners van de EU en de VS zijn onmogelijk te overbruggen zonder een speciale overeenkomst met duidelijke regels voor de overdracht en verwerking van hun gegevens.
Dit is waar het concept van een adequaatheidsbesluit om de hoek komt kijken. Een adequaatheidsbesluit is één van de instrumenten die de AVG biedt om persoonsgegevens van de EU naar derde landen over te dragen. In theorie zou het inwoners van de EU de zekerheid moeten geven dat als hun gegevens naar de VS worden geëxporteerd, deze worden verwerkt met hetzelfde beschermingsniveau als binnen de EU. Maar de geschiedenis laat zien dat de datadeals tussen de EU en de VS deze belofte niet kunnen waarmaken.
De zaak van Safe Harbor en het Schrems I-arrest
De International Safe Harbor Privacy Principles (de Veiligehavenbeginselen) waren het eerste wettelijke kader dat de overdracht van gegevens tussen de EU en de VS regelde. Het werd ingevoerd in 2000 en verworpen door een arrest dat bekend staat als Schrems I.
Met het Safe Harbor-kader konden Amerikaanse bedrijven werken op basis van hun ‘zelfcertificering’ van naleving van de Europese regelgeving voor gegevensbescherming. De lijst van bedrijven die vertrouwen op de overeenkomst om gegevensoverdrachten mogelijk te maken was meer dan 5.000 namen lang en bevatte bedrijven als Facebook en Google.
Safe Harbor begon af te brokkelen onder de beschuldigingen dat het National Security Agency door de toegang tot de persoonlijke gegevens van EU-burgers die door techgiganten zijn verzameld, inbreuk zou hebben gemaakt op de fundamentele mensenrechten die zijn vastgelegd in artikel 8 van het Europees Verdrag tot Bescherming van de Rechten van de Mens.
De Oostenrijkse advocaat Max Schrems diende in 2013 een klacht in over de overdracht van persoonsgegevens door Facebook Ireland Ltd. aan het Amerikaanse moederbedrijf, waarmee ook de Amerikaanse staatsveiligheidsdiensten toegang hadden tot de gegevens. De activist voerde aan dat het kader onvoldoende waarborgen bood om zijn fundamentele recht op privacy gegeven door de Europese Unie te beschermen.
In 2015 oordeelde het HvJEU dat het Safe Harbor-programma persoonlijke gegevens niet voldoende beschermde tegen ‘inmenging’ van de Amerikaanse overheid. Het arrest leidde tot de ongeldig verklaring van het kader.
De oorsprong van het Privacy Shield en Schrems II
Privacy Shield was bedoeld om de problemen met het vorige kader op te lossen. Het trad op 12 juli 2016 in werking.
Maar de principes van het Privacy Shield waren grotendeels hetzelfde als in Safe Harbor. Ze zijn ook niet veranderd na de invoering van AVG. Dit betekent dat Amerikaanse bedrijven sinds mei 2018 Europese gegevens verwerkten op een manier die niet in overeenstemming was met het huidige EU-privacykader.
Dit alles leidde tot een andere klacht van Max Schrems bij het HvJEU. In 2020 vernietigde het arrest dat bekend staat als Schrems II het EU-VS Data Protection Shield vanwege bezorgdheden over toezicht door Amerikaanse staats- en wetshandhavingsinstanties.
Het Hof verklaarde dat overdracht van persoonsgegevens van de EU naar de VS onrechtmatig is wanneer bedrijven niet kunnen garanderen dat ze veilig zijn voor de Amerikaanse inlichtingendiensten.
Wat zijn de gevolgen van het Schrems II-arrest geweest voor het bedrijfsleven?
De impact van het Schrems II-arrest was enorm. Duizenden bedrijven, inclusief Facebook en Google, vielen onder het Privacy Shield. Daarmee verdween ook de ‘groepsverzekering’ die het privacyschild bood.
Door de intrekking van de overeenkomsten zijn er geen wettelijke middelen meer voor grensoverschrijdende overdracht van persoonsgegevens van de EU naar de VS, behalve voor standaard contractuele clausules (SCC). Daardoor werd het voor bedrijven die afhankelijk zijn van de overdracht van gegevens moeilijker om zaken te doen met Amerikaanse dienstverleners.
Sinds het vonnis over het Privacy Shield heeft privacywaakhond NOYB 101 klachten ingediend tegen bedrijven die gegevens over bezoekers verzamelen met Google Analytics en Facebook Connect. Op de lijst met bedrijven staan bedrijven uit verschillende sectoren, maar uitgeverijen en bedrijven uit de financiële sector komen prominent voor.
De besluiten van gegevensbeschermingsautoriteiten (DPA’s) leidden ertoe dat het gebruik van platforms als Google Analytics in sommige EU-landen effectief verboden werd:
- Op 12 januari 2022 heeft de Oostenrijkse DSB uitspraak gedaan in de zaak van een niet bij naam genoemde Duitse internetuitgever. Deze toezichthoudende autoriteit stelde dat het gebruik van Google Analytics om gegevens van EU-ingezetenen te verzamelen onrechtmatig is op grond van de AVG.
- In april 2022 nam de CNIL een besluit uit waarmee drie Franse websites werden gelast te stoppen met het gebruik van Google Analytics.
- In juni 2022 oordeelde de Italiaanse gegevensbeschermingsautoriteit (Garante) dat de doorgifte van persoonsgegevens naar de Verenigde Staten tijdens het gebruik van Google Analytics onrechtmatig is op grond van de AVG.
- In september 2022 was Datatilsynet, de Deense autoriteit voor gegevensbescherming de vierde nationale toezichthouder die concludeerde dat Google Analytics niet voldoet aan de vereisten van de AVG.
- In maart 2023 bracht de Noorse DPA een voorlopig advies uit waarin staat dat het gebruik van Google’s platform illegaal is volgens AVG.
- In mei 2023 beval de Finse gegevensbeschermingsautoriteit het Finse meteorologische instituut om te stoppen met de overdracht van gegevens tussen de EU en de VS door middel van Google Analytics.
- In juli 2023 beval de Zweedse gegevensbeschermingsautoriteit vier bedrijven te stoppen met het gebruik van Google Analytics.
Individuele bedrijven liepen daarmee een groter risico op juridische stappen van consumenten, consumentenrechtenorganisaties en gegevensbeschermingsautoriteiten.
Het kader voor gegevensbescherming, Privacy Shield 2.0 genoemd
Op 10 juli 2023 heeft de Europese Commissie een nieuw Data Privacy Framework aangenomen, vaak Privacy Shield 2.0 genoemd.
Het nieuwe kader komt tegemoet aan de bezwaren die in Schrems II naar voren zijn gebracht. Het beperkt de manier waarop Amerikaanse spionagediensten inlichtingen kunnen verzamelen en introduceert nieuwe voorwaarden voor het verzamelen van gegevens van personen, waaronder de garantie dat alleen strikt gespecificeerde soorten gegevens worden verzameld.
Het nieuwe kader biedt inwoners van de EU ook de mogelijkheid om verhaal te halen bij een onafhankelijke rechterlijke instantie voor gegevensbescherming, bestaande uit leden van buiten de Amerikaanse overheid en het Civil Liberties Protection Office. De instanties kunnen claims goedkeuren en indien nodig herstelmaatregelen treffen.
Bedrijven in de VS kunnen zich aansluiten bij het Data Privacy Framework door ermee akkoord te gaan privacyverantwoordelijkheden na te leven. Deze omvatten het verwijderen van persoonlijke gegevens wanneer deze niet langer nodig zijn en het beschermen van gegevens wanneer deze worden gedeeld met derde partijen. Bedrijven moeten zich ook houden aan de principes van gegevensminimalisatie, beperking van het doel en proportionaliteit.
Ze kunnen beginnen met het verwerken van persoonsgegevens van EU-ingezetenen op basis van het kader vanaf de datum dat ze zelf gecertificeerd zijn.
Controverses rond het EU-US Data Privacy Framework
De nieuwe overeenkomst introduceert een reeks extra waarborgen en vereisten om de toegang tot gegevens van EU-ingezetenen via Amerikaanse surveillance te beperken. Maar volgens privacyvoorvechters doet het niet voldoende om aan de Europese privacynormen te voldoen.
“We hadden ‘Harbors’, ‘Umbrellas’, ‘Shields’ en ‘Frameworks’ – maar geen substantiële verandering in de surveillancewetgeving van de VS. De persverklaringen van vandaag zijn bijna een letterlijke kopie van degenen van de afgelopen 23 jaar. Aankondigen dat iets ‘nieuw’, ‘robuust’ of ‘effectief’ is, volstaat niet voor het Hof van Justitie. We zouden veranderingen in de Amerikaanse surveillancewetgeving nodig hebben om dit te laten werken, en die hebben we gewoon niet.” Schrems vat samen.
NOYB wijst op de kritieke punten van het nieuwe kader, waaronder de volgende:
FISA 702 en EO 12.333
De VS hebben FISA 702 niet hervormd, ondanks de mening van het HvJEU dat de bulksurveillance die de wet toestaat niet ‘proportioneel’ is zoals gedefinieerd in Artikel 52 van het Handvest van de Grondrechten van de EU. In plaats daarvan hanteert de Amerikaanse implementatie van het kader, EO 14086, een minder strikte interpretatie van de term.
Als FISA en EO 12.333 ongewijzigd blijven, worden de rechten van niet-Amerikaanse ingezetenen nog steeds niet beschermd in overeenstemming met het Fourth Amendment in de VS en het CFR in Europa.
Het is onduidelijk of de VS de controversiële bepalingen uit de wet zal verwijderen tijdens de FISA-hervorming aan het eind van het jaar. Max Schrems suggereert dat de Amerikaanse overheid misschien niet bereid is om deze actie te ondernemen omdat de beslissing over de toereikendheid van de gegevens al is ondertekend.
De Data Protection Review Court
NOYB betoogt dat het Data Protection Review Court geen echte rechtbank is zoals gedefinieerd in de Amerikaanse wetgeving. Ze wijzen op overeenkomsten tussen het Hof, de Civil Liberties Protection Officer en het instituut van ‘Ombudsman’ dat werd geïntroduceerd in het Privacy Shield, dat volgens de uitspraak van het HvJEU niet voldeed aan artikel 47 van het CFR.
De organisatie bekritiseerde ook de mate waarin ingezetenen van de EU beroepsmogelijkheden hebben en gaven aan dat er ten opzichte van eerdere kaders geen extra waarborgen werden geboden dat zij zouden worden gehoord.
De standpunten van de EDBP en het Europees Parlement over de nieuwe overeenkomst
De EU-organen zijn ook ontevreden over de huidige vorm van het kader. Voordat de overeenkomst werd geïmplementeerd, hebben het European Data Protection Board (EDPB) en het Europees Parlement (EP) hun bezorgdheid geuit over de privacywaarborgen die de overeenkomst biedt. Het EP heeft de Europese Commissie zelfs opgeroepen om opnieuw te onderhandelen of om de overeenkomst aan te vechten bij het HvJEU:
“[Het Europees Parlement] roept de Commissie op om te handelen in het belang van bedrijven en burgers in de EU door ervoor te zorgen dat het voorgestelde kader een solide, toereikende en toekomstgerichte rechtsgrondslag biedt voor de overdracht van gegevens tussen de EU en de VS; verwacht dat elk besluit over gepastheid, indien goedgekeurd, zal worden aangevochten voor het HvJEU; wijst op de verantwoordelijkheid van de Commissie voor het niet beschermen van de rechten van EU-burgers in het scenario waarin het besluit over gepastheid opnieuw ongeldig wordt verklaard door het HvJEU.”
Andere EU-instanties voor gegevensbescherming, waaronder de State Commissioner for Data Protection and Freedom of Information of Baden-Württemberg and Hamburg, hebben de nieuwe overeenkomst ook bekritiseerd:
“Het is nu aan de Europese Commissie om vast te stellen of de VS een inhoudelijk gelijkwaardig niveau van bescherming van persoonsgegevens bieden. Het is al twijfelachtig of de Commissie überhaupt in een positie is om het niveau van gegevensbescherming in de VS opnieuw te beoordelen en uitsluitend op basis van het Executive Order een adequaatheidsbesluit te nemen. Het grote aantal openstaande vragen doet hieraan twijfelen. In deze elementaire kwestie van gegevensbescherming hebben de burgers van de EU echter net zoveel behoefte aan rechtszekerheid als de Europese en buitenlandse bedrijven die ermee te maken hebben. Moet de Europese Commissie toestaan dat de grondrechten van EU-burgers voor de derde keer op rij ondergeschikt worden gemaakt aan economische belangen?”, aldus Stefan Brink, de State Commissioner for Data Protection and Freedom of Information van Baden-Württemberg.
Hoe het nieuwe kader van invloed is op bedrijven in de EU en de VS
Het korte antwoord is: het maakt het gebruik van software die gegevens over de Atlantische Oceaan stuurt, zoals Google Analytics en Facebook Ads, weer legaal zodra hun leveranciers gecertificeerd zijn. Maar gezien het verhitte debat rond het nieuwe kader, kunnen we verwachten dat er de komende maanden nog meer klachten zullen opduiken. NOYB heeft zijn volgende stappen al aangekondigd:
“We hebben verschillende opties voor een uitdaging al in de la […]. Op dit moment verwachten we dat dit begin volgend jaar terugkomt bij het Hof van Justitie. Het Hof van Justitie zou de nieuwe overeenkomst dan zelfs kunnen opschorten terwijl het de inhoud ervan bekijkt,” zegt Schrems.
Het lijkt erop dat een deal alleen stand kan houden als de VS hun wettelijke kader, waaronder FISA 702 en EO 13.222, aanpassen en substantieel wijzigen. Maar we weten niet wanneer en of dat ooit zal gebeuren.
Bedrijven die vrezen dat de nieuwe klachten zullen leiden tot Schrems III, zouden meer toekomstbestendige opties kunnen overwegen voor het verzamelen van gegevens onder AVG. Vooral omdat vonnissen zoals Schrems II met terugwerkende kracht gelden en vereisen dat je je bestaande contracten herziet, wat je serieuze verplichtingen oplegt.
Hier zijn enkele van de mogelijke keuzes:
- Beperking/uitsluiting van doorgifte en anonimisering van gegevens. De Amerikaanse bedrijfstechnologie is sterk afhankelijk van gebruikersidentificatie en gegevensoverdracht. Door de doorgifte te beperken of de gegevens te ontdoen van persoonlijke informatie kan dit probleem worden opgelost, maar daar hangt een prijskaartje aan. Wanneer Google Analytics bijvoorbeeld wordt geconfigureerd om te voldoen aan de normen van AVG (volgens richtlijnen van de Franse gegevensbeschermingsautoriteit), verliest het de meeste mogelijkheden.
- De technologiestapel bijwerken met alternatieven uit de EU. Schrems II creëerde een opening in de markt voor bedrijven in de EU die bedrijfs- en marketingsoftware met lokale EU-hosting aanbieden. Met deze alternatieven kunnen organisaties volledig onafhankelijk worden van transatlantische doorgifte van gegevens.
Lees meer over verschillende manieren om gegevens te verzamelen: 6 manieren waarop analysesoftware online gegevens verzamelt – plus een vergelijking van 5 populaire platforms.
De problemen rond het Privacy Shield 2.0 evolueren dynamisch. We houden je op de hoogte van wijzigingen in het kader en de zaken die aanhangig zijn gemaakt bij het Hof van Justitie van de Europese Unie.
Als je wilt weten hoe Piwik PRO Analytics Suite je helpt om wereldwijd te voldoen aan AVG en andere privacywetten terwijl je waardevolle gebruikersgegevens verzamelt, neem dan zeker contact met ons op.
