Kritiek op Nieuw Privacy Shield tussen EU en VS
De Europese Unie en de V.S. hebben een nieuwe overeenkomst goedgekeurd waardoor Amerikaanse bedrijven vrij gegevens kunnen uitwisselen tussen de EU en de Verenigde Staten, waarmee mogelijk een einde komt aan drie jaar juridische onzekerheid voor de grote Amerikaanse Tech bedrijven zoals Meta en Google.
Wat is het nieuwe pact tussen de EU en de VS?
De Europese Commissie heeft de VS formeel erkend als een land met adequate bescherming voor de persoonsgegevens van Europeanen en heeft een zogenaamd adequaatheidsbesluit aangenomen op grond van haar baanbrekende privacywet, de Algemene Verordening Gegevensbescherming.
Het EU-U.S. Data Privacy Framework, maakt (opnieuw) de weg vrij voor lucratieve trans-Atlantische gegevensuitwisselingen. Deze gegevensuitwisseling was de voorbije jaren een moeilijke kwestie gezien het Europees Hof van Justitie in 2020 de stekker heeft getrokken uit de vorige gegevensovereenkomst van de regeringen, bekend als het Privacy Shield.
Het Europees Hof van Justitie was van mening dat de Amerikaanse inlichtingendiensten te veel speelruimte hadden om de persoonlijke gegevens van Europeanen te bemachtigen.
Waarom is dit nieuwe Privacy Shield belangrijk?
Multinationals zijn actief in verschillende rechtsgebieden en ze moeten kunnen garanderen dat de gegevens over hun klanten die grensoverschrijdend verplaatsen op een manier die zowel veilig is als voldoet aan de regelgeving voor gegevensbescherming.
De gegevens van Europese gebruikers, die door deze multinationals naar Amerika worden doorgestuurd kunnen door de Amerikaanse inlichtingendiensten zonder al te veel moeite geraadpleegd worden. Daarnaast verzamelen bedrijven zoals Meta, Google en Amazon enorme hoeveelheden data over hun gebruikers, die ze gebruiken om hun algoritmen voor het aanbevelen van inhoud te informeren en advertenties te personaliseren.
Ook zijn er talloze voorbeelden van instanties waar multinationals ongeoorloofd gegevens uitwisselen zoals bijvoorbeeld de ongeoorloofde uitwisseling van gegevens met Cambridge Analytica.
Onderzoek naar Technologiebedrijven in Europa en de VS
De manier waarop deze technologiebedrijven met gegevens omgaan is zwaar onder de loep genomen door de nationale gegevensbeschermingsautoriteiten en privacy activisten.
Europa heeft strenge regels als het gaat om het verwerken van gegevens van internet-gebruikers waarvan de GDPR-bepalingen het beste voorbeeld zijn.
De VS hebben daarentegen geen enkele federale wet inzake gegevensbescherming die de privacy van alle soorten gegevens dekt. Daarbij hebben de individuele Amerikaanse staten hun eigen respectieve regels voor gegevens privacy bedacht met Californië als leider.
Recordboete voor Meta vanwege Inadequate Gegevensbescherming onder SCC’s
Zonder duidelijke regels voorhanden, vertrouwde bedrijven in de tussentijds op zogenaamde “standard contract clausules” (SCC) om ervoor te zorgen dat ze nog steeds gegevens over de Atlantische Oceaan kunnen verplaatsen. Echter voorzien deze SCC niet in een Adequaat niveau van bescherming van de persoonsgegevens van Europese gebruiker. Zo oordeelde de Ierse gegevensbeschermingsautoriteit dat het gebruik van SCC’s door Meta voor de overdracht van persoonsgegevens naar de VS in strijd is met de GDPR. Het Amerikaanse Tech gigant kreeg een recordboete van 1,3 miljard dollar opgelegd.
Biedt dit nieuw ‘Privacy Shield’ de oplossing?
De goedkeuring van een nieuw raamwerk voor gegevens privacy betekent dat bedrijven nu zekerheid hebben over hoe ze in de toekomst gegevens over de grenzen heen kunnen verwerken.
Als er geen overeenkomst was geweest, waren sommige bedrijven mogelijk gedwongen hun activiteiten in Europa stop te zetten. Meta waarschuwde reeds eerder dat er inderdaad het risico bestaat dat zij hun activiteiten in Europa zouden moeten stopzetten vanwege die gigantische boetes die zij opgelegd krijgen van de Europese gegevensbeschermingsautoriteiten.
Nieuwe EU-VS Gegevensbeschermingsovereenkomst: Kritiek en Evaluatie binnen een Jaar
De European Data Protection Board (EDPB) is van mening dat de nieuwe overeenkomst “substantiële verbeteringen” vertoonde in vergelijking met eerdere pacten, maar dat er nog steeds enkele waarborgen ontbraken.
Het Europees Parlement heeft zich tegen het nieuwe pact verzet, met het argument dat het nog steeds enige bulkverzameling van persoonlijke gegevens toestaat en onvoldoende bescherming biedt voor de privacy van Europeanen. De adviezen van de EDPB en het Europees Parlement zijn echter niet bindend en kunnen de overeenkomst niet doen ontsporen.
De Europese Commissie zal de effecten van het nieuwe Data Privacy Framework binnen het jaar evalueren en vervolgens om de vier jaar controleren of de nieuwe Amerikaanse privacy waarborgen voor Europeanen effectief zijn.
Het ongenoegen van NOYB
Schrems, de Oostenrijkse privacy activist die hielp het Privacy Shield neer te halen, heeft al meerdere malen zijn ongenoegen geuit over het nieuwe Privacy Shield. Hij is dan ook van plan om de zaak opnieuw voor het Europees Hof van Justitie te brengen.
In een verklaring zei Schrems dat zijn advocatenkantoor Noyb al de nodige juridische stappen aan het voorbereiden is.
“We verwachten momenteel dat dit begin volgend jaar weer bij het Hof van Justitie ligt”, zei Schrems.
Het Hof van Justitie zou dan zelfs de nieuwe deal kunnen opschorten terwijl het de inhoud ervan beoordeelt. Omwille van de rechtszekerheid en de rechtsstaat zou er dan een antwoord komen op de vraag of de kleine verbeteringen van de Commissie voldoende waren of niet.
Conclusie
Privacy activisten zeggen dat de maatregelen niet voldoende zijn, aangezien de Amerikaanse privacywetten geen bescherming bieden aan niet-Amerikaanse burgers, wat betekent dat mensen in de EU niet van hetzelfde beschermingsniveau kunnen genieten.
Of het raamwerk ooit succesvol zal zijn hangt af van de vraag of de Europese rechtbanken de bescherming van persoonsgegevens in de VS voldoende vinden om essentiële gelijkwaardigheid te bieden aan de EU-bescherming.
Bedrijven zullen deze potentiële uitdagingen zorgvuldig moeten overwegen in hun scenarioplanning.
Voor meer informatie omtrent dit nieuwe Privacy Shield, contacteer een erkend DPO.
