De EU en de VS hebben een akkoord aangekondigd over een nieuw kader voor trans-Atlantische gegevensstromen. (U vindt de verklaring van de EU hier en de verklaring van de VS hier).
De overeenkomst is een reactie op de ongeldigverklaring van het privacyschild door Schrems II in 2020. Dit is de afgelopen maanden uitvoerig behandeld, voornamelijk gericht op het gebruik van Google Analytics. (Onze recap vind je hier en de aankondiging van de CNIL & NOYB hier en hier).
De overeenkomst over een nieuw kader voor de verwerking van gegevens in het buitenland bevat geen tekst die voor juridische doeleinden kan worden geanalyseerd. De aankondiging is waarschijnlijk bedoeld als een "beginselakkoord" en dient als basis voor een "adequaatheidsbesluit" in de E.U. en een uitvoerend bevel in de VS, die in de komende maanden zullen worden opgesteld. Er moet echter nog veel meer gebeuren voordat het in werking kan treden.
Conclusie: De aankondiging is (opnieuw) een politieke aankondiging zonder wettelijke basis. Lipstick op een varken...
Het is mooi, toch?
Privacy Shield 2.0 heeft geen wettelijke basis
Dit is wat Max Schrems te zeggen had:
"We hadden in 2015 al een puur politieke deal die geen rechtsgrondslag had. Van wat je hoort zouden we nu een derde keer hetzelfde spel kunnen spelen. De deal was blijkbaar een symbool dat von der Leyen wilde, maar heeft geen steun onder deskundigen in Brussel, omdat de VS niet bewogen. Het is vooral ontstellend dat de VS de oorlog tegen Oekraïne zouden hebben gebruikt om de EU in deze economische kwestie onder druk te zetten."
"De definitieve tekst heeft meer tijd nodig, zodra die er is zullen we hem grondig analyseren, samen met onze juridische deskundigen uit de VS. Als hij niet in overeenstemming is met de EU-wetgeving, zullen wij of een andere groep hem waarschijnlijk aanvechten. Uiteindelijk zal het Hof van Justitie een derde keer beslissen. We verwachten dat dit binnen enkele maanden na een definitieve beslissing weer bij het Hof zal liggen."
"Het is betreurenswaardig dat de EU en de VS deze situatie niet hebben aangegrepen om tot een 'no spy'-overeenkomst te komen, met basisgaranties onder gelijkgezinde democratieën. Klanten en bedrijven gaan nog jaren van rechtsonzekerheid tegemoet."
Waar staan we?
Ten eerste hebben we een echt juridisch document nodig dat juristen kunnen analyseren. Dat zal nog zeker een paar maanden duren. De Europese Commissie zal er vervolgens een zogenaamd "adequaatheidsbesluit" over nemen, dat eerst door de Europesegegevensbeschermingsautoriteit (EDPB) moet worden getoetst. In de VS moet een executive order worden ondertekend door Biden. Ook dit proces zal nog enkele maanden duren en kan pas in gang worden gezet als er een juridisch document is. Bovendien kunnen bedrijven de overeenkomst niet gebruiken totdat deze formeel is aangenomen, waardoor er nog enkele maanden bij komen.
Door de aankondiging lijkt een privacyschild 2.0 dichtbij, maar we zijn nog ver verwijderd van eentje die echt werkt. Er zijn echter een paar dingen die we kunnen verwachten.
Onafhankelijke rechtbank
Momenteel is er in de VS weinig tot geen toetsing door een onafhankelijke rechter of de verwerking van persoonsgegevens was toegestaan. Het nieuwe privacyschild 2.0 zou daar verandering in brengen. Een nieuwe onafhankelijke rechtbank om geschillen over de verwerking van persoonsgegevens te behandelen.
Zelfcertificering
Amerikaanse softwarediensten zullen zichzelf opnieuw moeten certificeren om aan de GDPR te voldoen. Dit betekent dat niet elke in de VS gevestigde softwaredienst onmiddellijk kan worden gebruikt voor de verwerking van persoonsgegevens. Als u Amerikaanse diensten legaal wilt gebruiken, moet u controleren of ze gecertificeerd zijn.
Mag u Google Analytics gebruiken?
In de tussentijd blijft de huidige situatie bestaan, waarbij het gebruik van in de VS gebaseerde softwarediensten in strijd is met de GDPR. Er is geen juridisch document dat anders zegt, en we zullen er waarschijnlijk minstens een paar momenten op moeten wachten. De risico's op boetes zijn laag, maar bedrijven die aan de 'goede kant' van de wet willen staan, overtreden de wet door diensten als Mailchimp of Google Analytics te gebruiken.
Amerikaanse diensten zijn niet de enige beschikbare softwaretools. Er zijn tonnen E.U.-alternatieven voor in de VS gebaseerde diensten die voldoen aan de GDPR. Wij hebben bijvoorbeeld een privacy-vriendelijk alternatief voor Google Analytics gebouwd, genaamd Simple Analytics. U kunt kijken op alternativeto.net (crowdsourced software recommendations) voor meer privacy-vriendelijke alternatieven om alternatieven te vinden in bijna elke categorie.
Kortom, de aankondiging van de nieuwe trans-Atlantische overeenkomst inzake gegevensstromen is (voorlopig) slechts een politieke aankondiging. We hebben eerst een juridische tekst nodig om er een "adequaatheidsbesluit" over te nemen. Het zal maanden (en hopelijk geen jaren) duren voordat het privacyschild 2.0 in werking treedt. In de tussentijd is het gebruik van in de VS gevestigde softwarediensten in strijd met de wet.