In de nasleep van Schrems II hebben we er al vaak op gewezen dat de transfer van persoonsgegevens tussen de EU en de US, op zijn minst “problematisch” is te noemen.
Voor (tech)ondernemers viel die boodschap niet steeds in goede aarde, en was er zelfs een zekere “therapeutische hardnekkigheid” waarneembaar die zich vertaalde in “het zal wel zo’n vaart niet lopen”.
Inmiddels is dit reeds de vierde (!) update die we hierover posten. Telkens worden er nieuwe puzzelstukjes gelegd. De teneur is echter wel waar we al voortdurend voor waarschuwen: de datatransfers tussen de EU en de US, blijven een harde noot om te kraken.
De US deed de openingszet met een Executive Order
De believers in een goede afloop (in de betekenis dat het met die datatransfers wel in orde zal komen) werden een eerste keer aangemoedigd toen President Biden een “executive order” ondertekende die de implementatie van een nieuw EU/US Data Privacy Framework mogelijk moet maken.
Toen hebben we reeds gewaarschuwd niet te snel van stapel te lopen, en de lessen uit het verleden in acht nemen. Deze “executive order” wil immers nog niet zeggen dat er al meteen een nieuw “privacy shield” is, en we opnieuw kunnen overgaan naar business as usual.
Integendeel. Deze stap vormt slechts een onderdeel in een groter spel, waarbij de Amerikaanse overheid probeert tegemoet te komen aan een specifiek bezwaar dat in het Schrems II arrest door het Europese Hof van Justitie werd opgeworpen.
De Europese Commissie was snel gecharmeerd en “ontwerpt” een nieuw adequaatheidsbesluit
Na het executive order was het aan de Europese Commissie om te oordelen of deze stappen voldoende zijn om een nieuwe adequaatheidsbeslissing te rechtvaardigen. De Europese Commissie moet hierbij op een slappe koord dansen, en een evenwicht vinden tussen een transatlantisch pact en de verzuchtingen van het privacy-activisme dat meer dan ooit bloeit op Europese bodem. Niet enkel Max Schrems ligt op de loer – ook de European Data Protection Board heeft al eerder aangegeven zeer kritisch te zullen kijken naar dergelijke nieuwe adequaatheidsbesluiten.
Inmiddels heeft de Europese Commissie echter haar ei gelegd, en werd een ontwerp adequaatheidsbesluit gepubliceerd. Een procedurele stap die gretig aangewend wordt door allerlei belanghebbenden om met veel bombarie aan te kondigen dat dit vervelende conflict nu toch wel bijna van de baan is. Olie op het vuur dus voor de believers in een goede afloop.
Maar is dat ook zo? Het ontwerp gaat nu immers eerst naar de European Data Protection Board voor een finaal advies. Daarna moet de Commissie groen licht krijgen van een comité dat bestaat uit vertegenwoordigers van de EU-lidstaten. Bovendien heeft het Europees Parlement een toetsingsrecht op besluiten inzake adequaatheid. En pas dan zou de Europese Commissie een definitief besluit kunnen nemen. We zijn dus zo ver nog niet.
Een definitieve beslissing is dan ook niet te verwachten in de eerstkomende maanden. En mocht de beslissing positief zijn, dan kan vandaag reeds met grote waarschijnlijkheid gesteld worden dat deze beslissing vanuit privacy-activistische hoek opnieuw zal aangevochten worden voor het Europese Hof van Justitie. Een Schrems-III is dus zeker geen fantasie.
Het Europees Parlement zet de hakken in het zand
De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement vaardigt alvast een krachtige resolutie uit tegen het EU-US-kader voor gegevensbescherming en dringt er bij de Europese Commissie op aan geen adequaatheidsbesluit te nemen ten aanzien van de Verenigde Staten.
Aan de hand van een hele lijst van vastgestelde tekortkomingen komt het Europees Parlement tot de conclusie dat het EU-US-kader voor gegevensbescherming geen feitelijke gelijkwaardigheid van het beschermingsniveau tot stand brengt!
Wat nu? Wat is het risico-perspectief?
We benaderen de GDPR adviesverlening voor onze klanten steeds vanuit een afgewogen risico-perspectief.
De ontwikkelingen en initiatieven die de Europese Commissie neemt, lijken er op te wijzen dat het risico (op non-compliance met de GDPR regels) wellicht een stukje kleiner is geworden. Het risico is echter niet weggenomen!
Integendeel, met de puzzelstukjes die vandaag op tafel liggen, schatten we zowel de waarschijnlijkheid (“de kans dat er iets gebeurt”) als de impact (“wat is dan het gevolg van een incident”) nog steeds als eerder hoog in. De reden daarvoor is het groeiende privacy-bewustzijn, de luide stem van het privacy-activisme, en de duidelijke standpunten tot op vandaag van de toezichthoudende autoriteiten, en nu ook het Europees Parlement.
Conclusie?
Wil je een foutloze implementatie van de GDPR verplichtingen, ook voor je datastromen naar de US, dan ga je nog steeds een belangrijke afweging moeten maken.
- Zijn deze datastromen echt noodzakelijk voor me?
- Zijn er alternatieven beschikbaar die de data binnen de EER houden?
- En als het echt niet anders kan, en je data gaat naar de US: kan ik de nodige extra contractuele en technische waarborgen inbouwen, en hierover transparant zijn naar de data-subjecten?
Wat betreft die extra waarborgen raden wij het volgende aan:
- Een uitdrukkelijk schriftelijk engagement van de verwerker om geen persoonsgegevens door te geven aan de Amerikaanse overheid zonder toestemming;
- de installatie van een verregaand encryptie mechanisme ter garantie dat geen persoonsgegevens zouden doorgegeven worden aan de Amerikaanse overheid. We adviseren dan BYOK / HYOK / KYOK waarbij deze steeds in beheer is van de gegevensverantwoordelijke.
Kan je een extra paar ogen gebruiken omtrent de analyse van de praktijken die je vandaag toepast, en hulp bij de inschatting van het risico? Wil je dit onderbouwen vanuit je transparantieverplichting, of misschien zelfs remediëren? Spreek er over met onze data protection experten via hallo@dejuristen.be !
Geschreven door Kris Seyen, Partner deJuristen
