De naleving van de EU-US Data Privacy Framework blijkt uit een eerste eveluatie gematigd positief. Er zijn namelijk nog wel vragen en kanttekeningen. Dat stellen de Autoriteit Persoonsgegevens en haar zusterorganisaties in de EU.
De AP en de andere privacytoezichthouders in Europa zijn verenigd in de European Data Protection Board (EDPB). Zij onderzochten voor het eerst de gang van zaken bij het nieuwe EU-US Data Privacy Framework (DPF) voor doorgifte van persoonsgegevens naar de Verenigde Staten (VS). De wet ging op 10 juli 2023 in werking en regelt bescherming van persoonsgegevens bij datastromen tussen de EU en de VS.
Doorgifte van persoonsgegevens voor commerciële doeleinden van de EU naar de VS mag onder de nieuwe wet alleen bij bedrijven die zichzelf onder het DPF hebben gecertificeerd. Bij deze eerste evaluatie keek de EDPB vooral naar toepassing en handhaving van de vereisten voor die bedrijven. Ook de waarborgen die moeten zorgen dat de Amerikaanse inlichtingendiensten niet zomaar toegang hebben tot deze gegevens gingen onder het vergrootglas.
Volgens de Europese privacywaakhonden heeft het Amerikaanse ministerie van Handel goede stappen gezet om het hele proces goed te implementeren. Het klachtmechanisme voor EU-burgers is ook voldoende, omdat er zowel in de VS als de EU nu richtlijnen zijn voor behandeling van klachten van burgers over het DPF. Er is ook een ‘maar’. Er zijn nog maar weinig klachten, en die laten zien hoe belangrijk het is dat de Amerikaanse autoriteiten toezicht houden op de naleving van de DPF-principes.
De EDPB ziet wel graag dat de Amerikaanse autoriteiten duidelijke richtlijnen opstellen. Die moeten zorgen dat het voor bedrijven makkelijker wordt om te weten waaraan ze moeten voldoen als ze persoonsgegevens doorgeven van EU-exporteurs. De criteria van de Amerikaanse en de EU-autoriteiten over de definitie van persoonsgegevens komen bijvoorbeeld nog niet helemaal goed overeen.
Houden de inlichtingendiensten in de VS zich aan de regels?
De EDPB kon niet goed beoordelen of de Amerikaanse inlichtingendiensten zich netjes houden aan de beperkingen voor toegang tot persoonsgegevens van Europeanen. Daarmee was nog te weinig ervaring op het tijdstip van de evaluatie.
Volgens de EDPB moet de Europese Commissie de toekomstige ontwikkelingen bij de Amerikaanse Foreign Intelligence Surveillance Act (FISA) goed in de gaten houden. De VS heeft de reikwijdte van die wet eerder dit jaar uitgebreid. Het gaat vooral over toegang tot gegevens van personen die geen VS-burger zijn en die zich mogelijk ook buiten de VS bevinden.
De EDPB vindt de nieuwe wet zeker een verbetering vergeleken met het voormalige Privacy Shield. Maar gezien de punten waar nog vragen en zorgen leven komt de volgende evaluatie wel eerder en niet pas over vier jaar, zoals het advies was. Wanneer dat dan wel gaat gebeuren is nog niet duidelijk.
Tip:
- ACM onderzoekt overnameplannen KPN en Delta