De Europese Commissie heeft haar adequaatheidsbesluit over het EU-VS-kader voor gegevensbescherming vastgesteld. In het besluit wordt geconcludeerd dat de Verenigde Staten een adequaat – met dat van de Europese Unie vergelijkbaar – beschermingsniveau waarborgt voor persoonsgegevens die binnen het nieuwe kader vanuit de EU aan Amerikaanse bedrijven worden doorgegeven. Op basis van het nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig vanuit de EU worden doorgegeven aan Amerikaanse bedrijven die aan het kader deelnemen, zonder dat er aanvullende waarborgen voor gegevensbescherming moeten komen. Om de bezwaren van het Europees Hof van Justitie weg te nemen, zijn in het EU-VS-kader voor gegevensbescherming nieuwe bindende waarborgen ingevoerd. Zo wordt de toegang van Amerikaanse inlichtingendiensten tot EU-gegevens beperkt tot wat noodzakelijk en evenredig is, en wordt er een Data Protection Review Court (DPRC) opgericht, waartoe natuurlijke personen uit de EU toegang zullen hebben. Het nieuwe kader is grondig verbeterd ten opzichte van het privacyschild mechanisme. Als de DPRC bijvoorbeeld constateert dat de gegevens in strijd met de nieuwe waarborgen zijn verzameld, kan hij opdracht geven tot het wissen van de gegevens. De nieuwe waarborgen op het gebied van de toegang van de overheid tot gegevens komen bovenop de vereisten waaraan Amerikaanse bedrijven die gegevens uit de EU invoeren, zich zullen moeten houden.
Voorzitter Ursula von der Leyen: “Dankzij het nieuwe EU-VS-kader voor gegevensbescherming kunnen Europeanen er zeker van zijn dat de gegevensstromen veilig verlopen en genieten bedrijven aan weerszijden van de Atlantische Oceaan de nodige rechtszekerheid. Sinds president Biden en ik vorig jaar een akkoord over de beginselovereenkomst hebben bereikt, zijn de Verenigde Staten op het vlak van verbintenissen verder dan ooit gegaan om het nieuwe kader tot stand te brengen. De stap die we vandaag zetten, is belangrijk – voor het vertrouwen van onze burgers in de veiligheid van hun gegevens, voor het verdiepen van de economische banden tussen de EU en de VS, en omdat we daardoor de kans krijgen onze gemeenschappelijke waarden nogmaals tot uiting te brengen. Dit bewijst dat we door samen te werken, de meest complexe problemen kunnen oplossen.”
Amerikaanse bedrijven zullen tot het EU-VS-kader voor gegevensbescherming kunnen toetreden door zich te verbinden tot het nakomen van een gedetailleerde reeks privacyverplichtingen, zoals de verplichting om persoonsgegevens te wissen wanneer die niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, en de verplichting om de continuïteit van de bescherming te garanderen wanneer persoonsgegevens met derden worden gedeeld.
Natuurlijke personen uit de EU van wie de gegevens niet correct zijn behandeld door Amerikaanse bedrijven, zullen op verschillende manieren verhaal kunnen halen, onder meer via kosteloze, onafhankelijke geschillenbeslechtingsmechanismen en een arbitragepanel. Daarnaast voorziet het Amerikaanse rechtskader in een aantal waarborgen wat betreft de toegang van Amerikaanse overheidsinstanties tot binnen het kader doorgegeven gegevens, met name ten behoeve van de handhaving van het strafrecht en de nationale veiligheid. De toegang tot gegevens moet beperkt zijn tot wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen.
Natuurlijke personen uit de EU zullen, wat de verzameling en het gebruik van hun gegevens door Amerikaanse inlichtingendiensten betreft, een beroep kunnen doen op een onafhankelijk en onpartijdig verhaalmechanisme, bijvoorbeeld de nieuw opgerichte Data Protection Review Court (DPRC). De DPRC zal klachten op een onafhankelijke manier onderzoeken en oplossen, onder meer door bindende corrigerende maatregelen vast te stellen. De Amerikaanse waarborgen zullen de trans-Atlantische gegevensstromen ook in ruimere zin vergemakkelijken. Ze zijn immers ook van toepassing bij de doorgifte van gegevens in het kader van andere instrumenten, zoals bepalingen van modelovereenkomsten en bindende bedrijfsvoorschriften.
De Europese Commissie zal de werking van het EU-VS-kader voor gegevensbescherming periodiek toetsen, samen met vertegenwoordigers van de Europese gegevensbeschermingsautoriteiten en de bevoegde Amerikaanse autoriteiten. Bij de eerste toetsing – binnen een jaar na de inwerkingtreding van het adequaatheidsbesluit – wordt nagegaan of alle relevante elementen volledig zijn omgezet in het Amerikaanse rechtskader en of ze in de praktijk doeltreffend functioneren.
Achtergrond
Artikel 45, lid 3, van de algemene verordening gegevensbescherming (AVG) geeft de Commissie de bevoegdheid om door middel van een uitvoeringshandeling te besluiten dat een niet-EU-land “een adequaat beschermingsniveau” verzekert, d.w.z. een beschermingsniveau voor persoonsgegevens dat in wezen gelijkwaardig is aan het beschermingsniveau in de EU. Adequaatheidsbesluiten zorgen ervoor dat persoonsgegevens vanuit de EU (en Noorwegen, Liechtenstein en IJsland) vrij en zonder verdere belemmeringen naar een derde land kunnen stromen.
Nadat het Hof van Justitie van de EU het vorige adequaatheidsbesluit over het EU-VS-privacyschild ongeldig had verklaard, werden tussen de Europese Commissie en de regering van de VS besprekingen opgestart over een nieuw kader, dat rekening zou houden met de kwesties die door het Hof aan de orde waren gesteld.
In maart 2022 kondigden voorzitter Von der Leyen en president Biden aan dat zij, na onderhandelingen tussen commissaris Reynders en de Amerikaanse minister van Handel Raimondo, een beginselakkoord hadden bereikt over een nieuw trans-Atlantisch kader voor gegevensstromen. In oktober 2022 ondertekende president Biden een executive order ter versterking van de waarborgen in verband met de activiteiten van de VS op het gebied van inlichtingen uit berichtenverkeer. Die executive order werd aangevuld met voorschriften uitgevaardigd door minister van Justitie Garland. Deze twee instrumenten samen zetten de verbintenissen die de VS in het kader van de beginselovereenkomst is aangegaan, om in het Amerikaanse recht, en komen bovenop de verplichtingen waaraan Amerikaanse bedrijven zich moeten houden uit hoofde van het EU-VS-kader voor gegevensbescherming.
Een essentieel onderdeel van het Amerikaanse rechtskader waarin deze waarborgen zijn verankerd, is de executive order ter versterking van de waarborgen in verband met de activiteiten van de VS op het gebied van inlichtingen uit berichtenverkeer. In die executive order wordt tegemoet gekomen aan de bezwaren die het Hof van Justitie van de Europese Unie in het Schrems II-arrest van juli 2020 heeft uiteengezet.
Het kader wordt beheerd en gecontroleerd door het Amerikaanse ministerie van Handel. Handhaving van de naleving door de Amerikaanse bedrijven berust bij de Federal Trade Commission van de VS.
