De AP en de andere privacytoezichthouders in Europa, verenigd in de European Data Protection Board (EDPB), hebben de eerste evaluatie afgerond van het EU-US Data Privacy Framework (DPF) voor doorgifte van persoonsgegevens naar de Verenigde Staten (VS). De EDPB is overwegend positief, maar heeft ook enkele verbeterpunten.
▼
Het DPF trad op 10 juli 2023 in werking. Het regelt de bescherming van persoonsgegevens bij datastromen tussen de Europese Unie (EU) en de VS. En het moet de tekortkomingen wegnemen die het Europese Hof constateerde bij de voorganger van het DPF, het Privacy Shield.
Doorgifte van persoonsgegevens voor commerciële doeleinden van de EU naar de VS is alleen mogelijk voor bedrijven die zichzelf onder het DPF hebben gecertificeerd. Bij deze eerste evaluatie keek de EDPB naar de toepassing en handhaving van de vereisten die voor deze bedrijven gelden. En naar waarborgen die ervoor zorgen dat de Amerikaanse inlichtingendiensten niet zomaar toegang hebben tot deze gegevens.
Wat vindt de EDPB?
- De EDPB constateert dat het Amerikaanse ministerie van Handel de nodige stappen heeft genomen om het certificeringsproces te implementeren.
- De EDPB is ook positief over het klachtmechanisme voor EU-burgers. Hiervoor zijn er zowel in de VS als in de EU richtlijnen gepubliceerd voor de behandeling van klachten van burgers over het DPF. Het lage aantal klachten dat tot nu toe is ontvangen, benadrukt hoe belangrijk het is dat de Amerikaanse autoriteiten toezicht houden op de naleving van de DPF-principes door DPF-gecertificeerde bedrijven.
- De EDPB moedigt aan dat de Amerikaanse autoriteiten richtlijnen ontwikkelen die de vereisten verduidelijken waaraan DPF-gecertificeerde bedrijven moeten voldoen wanneer ze persoonsgegevens doorgeven die ze van EU-exporteurs hebben ontvangen. Richtsnoeren van de Amerikaanse autoriteiten over personeelsgegevens, waarvan de definitie in de VS en in de EU niet helemaal overeenkomt, zouden ook welkom zijn.
- De EDPB kon niet goed beoordelen of de Amerikaanse inlichtingendiensten zich netjes houden aan de beperkingen die het DPF oplegt voor toegang tot persoonsgegevens van Europeanen. Dit komt omdat daarmee nog te weinig ervaring was op het tijdstip van de evaluatie.
- De EDPB beveelt aan dat de EC de toekomstige ontwikkelingen in de gaten houdt van de Amerikaanse Foreign Intelligence Surveillance Act (FISA). Vooral omdat de reikwijdte van Sectie 702 eerder dit jaar is uitgebreid. Sectie 702 gaat over toegang tot gegevens van personen die geen VS-burger zijn en die zich mogelijk ook buiten de VS bevinden.
- Ook voor Amerikaanse inlichtingendiensten is er een nieuw klachtmechanisme. De EDPB vindt dit een verbetering vergeleken met het voormalige Privacy Shield. Wel herhaalt de EDPB de oproep aan de EC om de praktische uitwerking te blijven monitoren, nu op het tijdstip van de evaluatie nog geen klachten waren ontvangen.
- Gelet op deze aandachtspunten adviseert de EDPB om de volgende evaluatie eerder uit te voeren dan over vier jaar, zoals in het adequaatheidsbesluit is opgenomen.