Op 10 juli heeft de Europese Commissie haar langverwachte adequaatheidsbesluit voor de Verenigde Staten aangenomen. Dit is de laatste stap in de implementatie van het Trans Atlantic Data Privacy Framework (DPF), een bilateraal raamwerk tussen de EU en de VS dat gegevensstromen tussen de VS en EU/EER-landen vergemakkelijkt.
Niet iedereen is blij met de beslissing. Het Europees Parlement liet zich negatief uit over het nieuwe raamwerk en privacy NGO noyb - die nogal betrokken is bij het verhaal - kondigde al aan dat het de adequacy beslissing zou aanvechten bij het Europese Hof van Justitie. Dit is niets nieuws. Twee kaders voor gegevensoverdracht zijn al eerder ongeldig verklaard in de Schrems I en II arresten. Naar alle waarschijnlijkheid zal Schrems III de vuurdoop voor het kader zijn. En het is echt moeilijk te zeggen hoe het zal aflopen.
Maar wat is het DPF precies? Welke invloed heeft het op gegevensoverdrachten en welke juridische kwesties roept het op? Laten we het uitzoeken!
- Wat is het trans-Atlantische gegevensbeschermingskader?
- Zal het trans-Atlantische dataprivacyraamwerk het probleem met de doorgifte van gegevens tussen de EU en de VS oplossen?
- Hoe werkt het trans-Atlantische gegevensbeschermingskader?
- Wat is het verhaal achter de DPF?
- Slotopmerkingen
Wat is het trans-Atlantische gegevensbeschermingskader?
Het DP is een kader voor gegevensoverdracht dat is opgezet door de Amerikaanse overheid en de Europese Commissie om gegevensoverdracht tussen de VS en de EU/Europese Economische Ruimte te vergemakkelijken. Het is echter geen internationale overeenkomst in strikte zin, omdat het is gebaseerd op interne rechtshandelingen binnen de rechtskaders van de VS en de EU. Deze interne rechtshandelingen zijn het resultaat van uitgebreide onderhandelingen tussen de VS en de EU.
Aan de Europese kant hebben we het hierboven genoemde besluit over gepastheid. Een adequaatheidsbesluit is een eenzijdige handeling van de Europese Commissie die erkent dat een derde land (in dit geval de VS) een solide raamwerk voor gegevensbescherming heeft en daarom de doorgifte van gegevens naar dat land "groen licht" geeft.
Aan de Amerikaanse kant hebben we Executive Order 14086, ondertekend in oktober 2022 door president Joe Biden. Een executive order is een bevel van de president aan overheidsdiensten (in dit geval inlichtingendiensten). Executive Order 14086 bevat regels die de bevoegdheden van agentschappen (enigszins) beperken in hun omgang met bepaalde strategische bondgenoten, waaronder de EU. Het zet ook een systeem van beroepsmogelijkheden op om de mate van toezicht op internetsurveillance van mensen in de EU en de EER te vergroten.
Zal het trans-Atlantische dataprivacyraamwerk het probleem met de doorgifte van gegevens tussen de EU en de VS oplossen?
Als het Hof van Justitie het niet afkeurt - en dat is een grote vraag.
Twee oudere kaders (de Safe Harbor en het Privacy Shield) zijn al eerder door het Hof ongeldig verklaard omdat ze onvoldoende bescherming boden voor Europese gegevens, en NGO noyb kondigde al een juridische strijd aan bij het Hof van Justitie tegen het DPF.
Dit betekent niet noodzakelijk dat de DPF ook ongeldig zal worden verklaard, maar het is een reële mogelijkheid. Het is moeilijk te zeggen hoe het zal gaan: het DPF is in sommige opzichten een stap vooruit ten opzichte van het verleden, maar is op bepaalde punten nog steeds problematisch.
Hoe werkt het trans-Atlantische gegevensbeschermingskader?
Gegevensoverdracht in een notendop
Om te begrijpen hoe het kader van invloed is op gegevensoverdrachten, moeten we eerst een stap terug doen en kijken naar hoe gegevensoverdrachten werken onder de GDPR.
De GDPR staat alleen veilige en vertrouwelijke doorgifte van persoonsgegevens buiten de EU toe (meer precies, buiten de EER, omdat de GDPR ook van toepassing is in IJsland, Noorwegen en Liechtenstein).
Dit is logisch: zonder dit basisprincipe zouden alle privacybeschermingen van de GDPR in gevaar komen op het moment dat persoonlijke gegevens de EU verlaten (wat voortdurend gebeurt). De GDPR verbiedt dus niet de doorgifte van persoonlijke gegevens buiten de EU, maar vereist wel dat ze veilig zijn.
Om dit principe te implementeren, vereist de GDPR bepaalde waarborgen voor de doorgifte van gegevens. In de praktijk betekent dit dat de GDPR een klein aantal wettelijke mechanismen opsomt die fungeren als waarborgen voor persoonlijke gegevens en organisaties verplicht om er één uit te kiezen en deze op de juiste manier te implementeren voordat ze persoonlijke gegevens doorgeven. Een gegevensoverdracht zonder waarborgen is illegaal (met zeer beperkte uitzonderingen).
De adequaatheidsbesluiten die we noemden zijn een van deze waarborgen. Ze zijn de favoriete bescherming van elke organisatie omdat ze weinig of geen papierwerk vereisen. Toch zijn ze maar voor een paar landen beschikbaar (je kunt ze vinden op de website van de Europese Commissie).
Als een adequacy decision niet beschikbaar is, nemen de meeste organisaties hun toevlucht tot de standaard contractuele clausules (SCC's) die zijn opgesteld door de Europese Commissie. SCC's zijn clausules die de partijen vertellen wat ze wel en niet mogen doen met persoonlijke gegevens. Op deze manier compenseert de bindende kracht van een contract het gebrek aan privacyregels in het land van de ontvanger.
SCC's zijn een slim hulpmiddel, maar hebben een grote tekortkoming: ze beschermen de gegevens niet of nauwelijks tegen staatscontrole. Dit komt door hun contractuele aard: ze binden de organisaties die ze ondertekenen, maar ze binden geen landen.
Helaas is staatstoezicht precies het juridische probleem dat de doorgifte van gegevens tussen de EU en de VS in de weg staat. De omvangrijke en onevenredige aard van de Amerikaanse inlichtingenoperaties is de reden waarom het Hof van Justitie al twee kaders voor gegevensoverdracht ongeldig heeft verklaard in de Schrems I en II beslissingen.
De Schrems II-beslissingen hadden ook gevolgen voor het gebruik van SCC's. Het Hof verduidelijkte dat organisaties ervoor moeten zorgen dat SCC's daadwerkelijk werken voor het land waar de gegevens naartoe gaan. In de praktijk betekent dit dat bedrijven die SCC's gebruiken om gegevens naar de VS te sturen, extra waarborgen moeten implementeren om persoonlijke gegevens veilig te houden voor de National Security Agency.
Dit is niet de gemakkelijkste taak ter wereld en is helemaal onmogelijk wanneer je gebruik maakt van bepaalde providers die in de VS zijn gevestigd. Als je het serieus neemt, kan de Schrems II uitspraak van het Hof van Justitie het gebruik van veel Amerikaanse diensten volledig illegaal maken - inclusief belangrijke spelers als Azure, Oracle en AWS. Het DPF en zijn toekomst zijn dus van groot belang voor de Europese digitale economie.
Hoe draag je gegevens over naar de VS onder het Trans-Atlantic Data Protection Framework?
Het DPF zal gegevensoverdracht op twee manieren vereenvoudigen. Ten eerste kunnen Europese organisaties vertrouwen op de adequaatheidsbeschikking voor de VS wanneer ze gegevens versturen naar bepaalde in de VS gevestigde organisaties - maar niet allemaal.
Het DPF staat EU-bedrijven alleen toe om gegevens door te geven aan organisaties die zich houden aan de Privacy Shield-principes en deze naleving zelf certificeren bij het Amerikaanse ministerie van Handel. Praktisch gezien betekent dit dat je je niet kunt beroepen op de adequaatheidbeschikking om gegevens door te geven aan een organisatie die zich niet houdt aan de Privacy Shield-principes. In dat geval moet u een andere beveiliging gebruiken, meestal SCC's.
Ten tweede worden gegevensoverdrachten naar alle andere organisaties vergemakkelijkt omdat de Executive Order de discretionaire bevoegdheid van inlichtingendiensten om Europese gegevens te bespioneren (enigszins) beperkt. Het Uitvoeringsbevel staat dus gegevensoverdracht toe op basis van SCC's met weinig of geen extra waarborgen.
Dit veronderstelt natuurlijk dat de DPF Schrems III overleeft, wat verre van zeker is!
Het is ook de moeite waard om erop te wijzen dat je niet zomaar persoonsgegevens kunt doorgeven aan Amerikaanse bedrijven, alleen omdat je een adequaatheidsbesluit hebt! De algemene regels van de GDPR zijn nog steeds van toepassing: als je geen legitieme reden hebt om persoonlijke gegevens door te geven aan een andere organisatie, dan kun je dat niet doen - zelfs niet als de gegevens binnen de EU blijven. Met al dat gepraat over gegevensoverdracht is het makkelijk te vergeten dat de regels voor gegevensoverdracht slechts één stukje van de compliance-puzzel zijn.
Wat is het verhaal achter de DPF?
Schrems I en II
Het DPF is niet het eerste kader voor gegevensprivacy tussen de EU en de VS. In het verleden zijn er twee van dergelijke kaders opgezet en dat liep niet goed af.
In 2000 hadden de EU en de VS een raamwerk voor gegevensoverdracht met de naam Safe Harbor. In 2013, na de onthullingen van Snowden over uitgebreide Amerikaanse surveillance van buitenlandse gegevens, diende de Oostenrijkse burger Maximilian Schrems (deze naam zal nog vaak opduiken) een klacht in tegen Facebook Ierland (nu Meta). Hij beweerde dat de overdracht van persoonlijke gegevens door het bedrijf aan het in de VS gevestigde moederbedrijf de informatie blootstelde aan een substantieel risico van staatstoezicht door Amerikaanse agentschappen en daarom illegaal was.
Hiermee begon een tien jaar durende juridische strijd waarbij de Ierse privacy-autoriteit (DPC), het Ierse administratieve rechtssysteem en het Europese Hof van Justitie (HvJEU) betrokken waren. Het HvJEU heeft zich twee keer over de zaak uitgesproken met de Schrems I en II uitspraken.
Beide uitspraken zijn mijlpalen in de EU-wetgeving inzake gegevensbescherming en beide uitspraken maakten een kader voor gegevensoverdracht ongeldig - eerst de Safety Harbor en daarna de opvolger daarvan, het Privacy Shield (ja, het heeft dezelfde naam als de Privacy Shield-principes, wat verwarrend is). Met andere woorden, de DPF is een derde poging.
Schrems I en II zijn lange en gecompliceerde beslissingen die over veel onderwerpen gaan, maar er zijn twee belangrijke conclusies.
- Adequaatheidsbesluiten zijn geen zuiver politieke besluiten. Onder de GDPR kan de Commissie alleen een adequaatheidsbesluit nemen voor landen die "een passend beschermingsniveau" voor persoonsgegevens waarborgen. Met andere woorden, de Commissie kan geen adequaatheidsbesluit nemen alleen omdat ze een land leuk vindt, maar moet objectieve factoren in overweging nemen. Als deze factoren niet juist worden beoordeeld, dan is het passendheidsbesluit verkeerd en kan het nietig worden verklaard door het Hof van Justitie. Dit is wat er is gebeurd in Schrems I en II.
- De tweede belangrijke conclusie is dat de overdracht van persoonsgegevens soms extra waarborgen vereist bovenop de waarborgen die de GDPR vereist. De redenering is eenvoudig: omdat standaard contractclausules de ontvangende staat niet binden, beschermen ze Europese gegevens niet tegen toezicht - en dat is de kern van de zaak in beide Schrems II uitspraken. Om de gegevens veilig over te dragen, moeten EU-organisaties dus andere manieren vinden om persoonlijke gegevens vertrouwelijk te houden.
Er is hier een duidelijk probleem: inlichtingendiensten zijn goed in het verzamelen van vertrouwelijke informatie, hoe goed deze ook beschermd is. Dat is tenslotte hun werk. Dus, zoals we hierboven hebben uitgelegd, is het erg moeilijk - en soms onmogelijk - voor een Europees bedrijf om VCA's aan te vullen met extra waarborgen die echt werken.
Gegevensoverdracht na Schrems II
De Schrems II-zaak werd beslist in 2020 en de uitspraak bracht veel Europese bedrijven in een lastig parket omdat ze sterk afhankelijk waren (en nog steeds zijn) van Amerikaanse dienstverleners. Als gevolg daarvan negeerden veel bedrijven de uitspraak en deden ze gewoon door.
Een privacy-ngo genaamd noyb (waarvan Schrems zelf lid is) was niet blij met de situatie en begon de autoriteiten aan te sporen tot strikte handhaving van de Schrems II-uitspraak door een heleboel klachten in te dienen tegen de gegevensoverdrachten voor Google Analytics en Facebook Connect. Dit leidde ertoe dat privacy-autoriteiten een harder standpunt innamen over gegevensoverdrachten en Google Analytics praktisch verboden uit sommige lidstaten, waaronder de belangrijkste nationale markten van Frankrijk en Italië.
(Om duidelijk te zijn, de privacyautoriteiten beslisten de zaak per geval, maar het was vrij duidelijk dat toekomstige zaken op dezelfde manier zouden worden beslist - daarom kwam de beslissing praktisch neer op een verbod voor de hele staat en leidde tot wijdverspreide paniek onder marketeers).
Natuurlijk stond er veel meer op het spel dan Google Analytics zelf, dus onderhandelden de Europese Commissie en de Amerikaanse regering over een nieuw kader voor gegevensoverdracht. De implementatie van dit kader begon in oktober 2022 toen president Joe Biden Executive Order 14086 uitvaardigde en eindigde in juli 2023 toen de Commissie haar adequaatheidsbesluit voor de VS goedkeurde.
Waarom heeft het nieuwe kader zo lang geduurd?
Als gegevensstromen tussen de EU en de VS zo belangrijk zijn voor beide partijen, waarom hebben ze er dan drie jaar over gedaan om het nieuwe kader te implementeren?
Het opzetten van dit kader was niet eenvoudig. Het DPF is het resultaat van complex juridisch werk, vooral aan Amerikaanse zijde.
De Commissie wilde heel graag een kader voor gegevensoverdracht, maar had ook een kader nodig dat een Schrems III-uitspraak kon overleven (en het valt nog te bezien of dat het geval zal zijn). Tegelijkertijd moest de Amerikaanse regering een systeem bedenken dat niet alleen het Europese Hof van Justitie tevreden zou stellen, maar ook in overeenstemming zou zijn met de beperkingen van de Amerikaanse grondwet en de jurisprudentie van het Amerikaanse Hooggerechtshof. Met andere woorden, het DPF is een poging om twee rechtbanken tegelijkertijd tevreden te stellen.
Als je tijd te doden hebt, dit uitstekende artikel neemt een diepe duik in de Amerikaanse wetgeving en legt een aantal van de juridische constructies uit achter het verhaalmechanisme dat is geïmplementeerd door de Executive Order. Of het DPF Schrems III nu overleeft of niet, de vindingrijkheid achter de systemen is indrukwekkend.
Slotopmerkingen
Over het algemeen is het DPF een onderwerp dat tot verdeeldheid leidt en mensen hebben de neiging om in kampen te vallen. Sommigen beschouwen het DPF als de definitieve oplossing voor het probleem van gegevensoverdracht en zijn ervan overtuigd dat Schrems III goed zal verlopen. Anderen, waaronder Max Schrems en noyb, geloven dat het DPF een kopie is van het Privacy Shield en zijn ervan overtuigd dat het Hof van Justitie het zal verwerpen.
Wij denken dat de waarheid ergens in het midden ligt. Het DPF is zeker een verbetering ten opzichte van het Privacy Shield, maar het Privacy Shield was dan ook verschrikkelijk. Naast de verbeteringen zijn er nog steeds potentiële problemen met het nieuwe kader.
Schrems III kan in beide richtingen uitpakken. Aan de ene kant is het overweldigende negatieve advies van het Europees Parlement over het DPF niet de meest veelbelovende start en zou dit het Hof wel eens kunnen aanzetten tot een hard standpunt. Aan de andere kant kunnen de huidige internationale spanningen als gevolg van de oorlog in Oekraïne het Hof in de tegenovergestelde richting duwen en een zekere mate van pragmatisme suggereren in de omgang met een strategische bondgenoot van de EU.
We weten dat als het DPF ten onder gaat, we weer terug bij af zijn. Sterker nog, gegevensoverdrachten kunnen na Schrems III een nog groter probleem worden, omdat de handhaving van Schrems II sinds 2020 op stoom is gekomen (zie de recente boete van 1,2 miljard euro tegen Meta!) Aan de andere kant zal het Hof het DPF waarschijnlijk niet afschieten zonder de Amerikaanse regering en de Commissie wat hints te geven over wat ze verder willen zien in kader nummer vier.
Kortom, we kunnen alleen maar afwachten. In de tussentijd zouden bedrijven een plan B bij de hand moeten hebben - of op zijn minst een ruwe schets van een plan - voor het geval Schrems III niet goed gaat.
Het slechte nieuws is dat dit voor sommige dienstverleners erg moeilijk is. Het goede nieuws is dat het heel gemakkelijk is voor web analytics. In feite is het niet nodig om te wachten op Schrems III - veel bedrijven kunnen profiteren van het dumpen van Google Analytics!
Google Analytics is de standaard analysetool op internet, maar het is niet onvervangbaar. Er bestaan veel alternatieven, waaronder privacy-vriendelijke en EU-gebaseerde alternatieven. En wij hebben precies degene voor jou.
Wij van Simple Analytics geloven dat je bezoekers niet agressief hoeft te volgen om het inzicht te krijgen dat je nodig hebt! Daarom hebben we privacy de hoeksteen van Simple Analytics gemaakt.
Onze diensten verzamelen geen persoonlijke gegevens, nemen geen vingerafdrukken van bezoekers en volgen ze op geen enkele manier - dit alles terwijl ze uitstekende inzichten verschaffen en zeer gebruiksvriendelijk zijn in vergelijking met de concurrentie. Als dit u aanspreekt, probeer ons dan gerust uit!