12-10-2022

Nieuw akkoord tussen EU en VS over gegevensoverdracht in de maak

Deel dit bericht

Er komt een nieuw akkoord aan tussen de EU en de VS over gegevensoverdracht, maar we kunnen niet meer terug naar de situatie van voor Schrems II. De Amerikaanse president Joe Biden heeft op vrijdag 7 oktober een executive order getekend, waarin hij opdracht geeft om de bezwaren te adresseren in de uitspraak (Schrems II) van het Europese Hof van Justitie van juli 2020, waarin het Privacy Shield-verdrag ongeldig werd verklaard. Deze executive order luidt het startschot voor het opstellen van een nieuw EU-VS-kader voor dataprivacy. Als alles goed gaat, wordt de nieuwe overeenkomst in maart 2023 gepubliceerd, waarmee een einde komt aan een lange periode van onzekerheid in de trans-Atlantische digitale economie.

Na het ongeldig verklaren van Privacy Shield zijn de gegevensbeschermingsautoriteiten (DPA’s) van de verschillende EU-landen begonnen met het onderzoeken van organisaties die Amerikaanse Big Tech-producten gebruiken om persoonsgegevens naar het buitenland te sturen. Daarbij werd vooral gekeken naar de inzet van Google. Het gebruik van Google Analytics, een van de meest gebruikte tools voor webanalyse, is in de EU inmiddels verboden door de gegevensbeschermingsautoriteiten van Frankrijk, Oostenrijk, Italië en Denemarken. “De meeste Amerikaanse technologie stuurt gegevens door naar de VS. EU-organisaties vertrouwen sterk op die oplossingen, vooral voor business en marketing. De juridische gevolgen van de Schrems II-uitspraak zorgen voor chaos en onzekerheid bij hun bedrijfsactiviteiten”, zegt Vincent de Winter, Regional Manager Benelux bij Piwik PRO, leverancier van een privacyvriendelijk alternatief voor Google Analytics.

De nieuwe oplossing heeft nu al gebreken
De nieuwe executive order introduceert onder andere een reeks aanvullende garanties en vereisten om de toegang tot gegevens van EU-burgers door Amerikaanse toezichthouders te beperken. Ook wordt er een systeem voor het afhandelen van klachten ingevoerd. Hoewel de omvang en reikwijdte van de wijzigingen die met deze EO worden ingevoerd om de gegevens van EU-burgers te beschermen misschien ongekend zijn, is het nog altijd een gebrekkige oplossing. Zo zegt noyb, de Oostenrijkse NGO die verantwoordelijk is voor het openbreken van twee eerdere overeenkomsten inzake gegevensoverdracht, in haar eerste beoordeling van het document:
• De executive order is geen wet en kan gemakkelijk overstemd worden door een andere executive order. Deze zwakke juridische constructie zal waarschijnlijk niet voldoende zijn voor het Europese Hof van Justitie.
• Vanuit het perspectief van de VS hebben Europeanen geen privacyrechten. Het vierde amendement van de Amerikaanse grondwet kent deze rechten alleen toe aan Amerikaanse burgers. Alle niet-VS burgers kunnen daardoor makkelijk het doelwit worden van surveillance.
• Amerikaanse organisaties die in de EU actief zijn, zijn niet gebonden aan de AVG. Volgens de EO hebben deze organisaties geen rechtsgrondslag nodig voor het verzamelen van gegevens en moeten ze alleen een opt-out mechanisme bieden voor degenen die hun gegevens niet willen delen. Hierdoor worden EU-bedrijven die wel aan de AVG moeten voldoen serieus benadeeld.
Net als eerder bij Safe Harbor en Privacy Shield, is nyob vastbesloten om deze nieuwe overeenkomst bij de rechter aan te vechten.

Omgaan met de onzekerheid
Sinds het Schrems II-arrest, waarbij de gegevensdoorgifte tussen de EU en de VS in feite werd verboden, hebben veel organisaties in de EU hun technologieën en methoden aangepast aan het nieuwe juridische landschap. De twee meest gebruikte oplossingen waren:
• Het beperken/uitsluiten van gegevensoverdracht en anonimisering. De Amerikaanse technologie is sterk afhankelijk van gebruikersidentificatie en gegevensoverdracht. Het beperken van de overdracht of het ontdoen van de gegevens van persoonlijk identificeerbare informatie helpt om dit probleem te aan te pakken, maar daar hangt wel een prijskaartje aan. Wanneer Google Analytics bijvoorbeeld zo wordt geconfigureerd dat het voldoet aan de AVG-normen (volgens de Franse DPA-richtlijnen), verliest het de meeste van zijn mogelijkheden.
• Technologie vervangen door EU-alternatieven. Schrems II creëerde marktkansen voor EU-bedrijven die business- en marketingsoftware met lokale EU-hosting aanbieden. Met deze alternatieven kunnen organisaties volledig onafhankelijk worden van gegevensoverdracht naar de VS.

Geen weg terug
Het nieuwe kader zal hopelijk een einde maken aan meer dan twee jaar onrust, maar de tijd wordt hiermee niet teruggedraaid. Er zijn tekenen dat Schrems II voor altijd manier heeft veranderd hoe bedrijven en wetgevers omgaan met gegevensoverdracht en de privacy van gebruikers:
• Verdere aanpassingen van het juridische landschap. De Digital Service Act en Digital Market Act van de EU hervormen de betrekkingen tussen Europa en de belangrijkste Amerikaanse technologiebedrijven. De ePrivacy-verordening, die nu nog in de maak is, zal de regels voor het verzamelen en verwerken van gegevens in de digitale wereld nader specificeren.
• Een verschuiving in de visie van organisaties op privacy. Volgens een recente survey door Piwik PRO is ruim 70% van de marketing executives en CEO’s in de EU het ermee eens dat het belangrijk is om de online privacy van gebruikers te respecteren. Bijna de helft van de respondenten denkt erover om hun huidige marketingoplossingen te vervangen door alternatieven uit de EU.
• Veranderingen in digitale marketing en advertising. Deze sectoren zijn sterk afhankelijk van de overdracht en verwerking van persoonsgegevens. De twee belangrijkste mechanismen, het toestemmingskader TCF2 van het IAB en het Real Time Bidding-systeem, worden nu onderzocht door gegevensbeschermings- autoriteiten en juridische ngo’s. De uitkomsten van deze onderzoeken zal de manier waarop deze sectoren in de EU opereren, veranderen.

Partners