Het is op 25 mei 2023 vijf jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. In een vijfdelige reeks lichten we een aantal onderwerpen toe die ons in deze periode zijn opgevallen. In dit perspectief gaan we in op de status van internationale doorgiftes: waar staan we nu precies, met name inzake de doorgifte naar de Verenigde Staten?
Doorgifte buiten de EU: hoe zit het ook alweer?
Persoonsgegevens mogen niet zomaar buiten Europa worden doorgegeven. De hoofdregel is dat gegevens enkel naar landen met een passend beschermingsniveau mogen worden doorgegeven. De Europese Commissie kan een zogenaamd ‘adequaatheidsbesluit’ nemen, zodat gegevens in deze landen kunnen worden verwerkt. Dit geldt bijvoorbeeld voor landen als het Verenigd Koninkrijk, Japan en Nieuw-Zeeland. Hier vindt u een link naar de actuele lijst.
Indien er geen adequaatheidsbesluit voor een bepaald land bestaat, is internationale doorgifte slechts toegestaan op grond van één van de wettelijke bepalingen uit de AVG. De meest voorkomende oplossing is het gebruiken van het modelcontract (ook wel Standard Contractual Clauses of SCC's genoemd). Dit model is door de Europese Commissie vastgesteld en gepubliceerd, de meest actuele versie geldt vanaf 27 juni 2021. Een belangrijk onderdeel bij het hanteren van dit model is het uitvoeren van een Data Transfer Impact Assessment (DTIA), een voorafgaand onderzoek naar de privacy-risico's die spelen bij een doorgifte van persoonsgegevens naar dat land. BDO helpt u uiteraard graag met het gebruik van de SCC’s en/of het uitvoeren van een DTIA.
Hoe zit het met de Verenigde Staten?
Om antwoord te geven op deze vraag moeten we terug naar juli 2020. Toen heeft de hoogste Europese rechter (Europees Hof van Justitie of EHvJ) de afspraken tussen Europa en de VS voor doorgifte, het zogenaamde Privacy Shield, nietig verklaard in haar Schrems II-arrest. In de kern concludeert het EHvJ dat Europese burgers hun rechten onder de AVG jegens Amerikaanse overheidsdiensten niet bij een onafhankelijke rechter kunnen afdwingen (zie met name overwegingen 181 en 182 van het arrest). In navolging hiervan hebben diverse Europese waakhonden in hun ‘Google Analytics’-besluiten, de doorgifte naar de VS op basis van de nieuwe SCC’s (inclusief DTIA) al afgekeurd. De Nederlandse Autoriteit Persoonsgegevens (AP) moet haar besluit hierin overigens nog nemen.
Nieuwe afspraak
Europa en de VS werken momenteel hard aan een nieuwe afspraak, het trans-Atlantische Data Privacy Framework (EU-U.S. DPF), maar het huidige voorstel stuit tot dusver op (flinke) kritiek. Zo heeft het Europees Parlement bijvoorbeeld aangegeven dat het huidig concept niet daadwerkelijk equivalentie creëert in termen van gegevensbescherming. Een definitief kader voor de VS laat dus nog op zich wachten en daarmee blijft de onduidelijkheid over de doorgifte naar de VS vooralsnog bestaan. De AP stelt op haar website met zoveel woorden dat de doorgifte naar Amerika met de SCC en een DTIA mogelijk is. Dit is vooralsnog ook de praktijk in Nederland.
Samenvattend
Voor internationale doorgifte van persoonsgegevens buiten de EU gelden specifieke eisen. Indien er geen adequaatheidsbesluit voor een derde land geldt, is de meest gehanteerde methode het gebruik van de modelcontracten, inclusief Data Transfer Impact Assessment. De doorgifte naar specifiek de VS is momenteel nog steeds een heikel punt, omdat er nog geen nieuw definitief kader is en diverse EU waakhonden het gebruik van de modelcontracten hebben afgekeurd.
BDO blijft de ontwikkelingen op nauwe voet volgen en zal u uiteraard updaten over relevante ontwikkelingen. Indien u vragen heeft over internationale doorgiftes, komen wij graag vrijblijvend in contact.
Breed perspectief
BDO heeft een Engelstalige update geschreven over de Europese richtlijnen en regels rondom dit onderwerp. Wat onze internationale collega’s geleerd hebben en denken, leest u via onderstaande button.
Lees het hier (Engelstalig)