Persoonsgegevens via de fast lane naar de VS

Persoonsgegevens doorgeven naar de Verenigde Staten (“VS”). Lange tijd was dit een hoofdpijndossier voor menig organisatie. In 2020 oordeelde het Hof van Justitie van de Europese Unie in het Schrems II-arrest dat de bescherming van persoonsgegevens in de VS niet voldeed aan de vereisten die golden binnen de Europese Unie (“EU”). Het was daarom alleen mogelijk om persoonsgegevens door te geven naar de VS als er modelcontracten (ook wel: Standard Contractual Clauses) werden gesloten en er aanvullende maatregelen getroffen werden om ervoor te zorgen dat de persoonsgegevens voldoende beschermd waren. Sinds maandag 10 juli 2023 is het leven weer een stuk gemakkelijker geworden. Afgelopen maandag heeft de Europese Commissie na drie jaar weer besloten dat de VS een passend – en met de EU vergelijkbaar – beschermingsniveau biedt voor persoonsgegevens. Dit werd besloten in een zogenoemd adequaatheidsbesluit. Met een adequaatheidsbesluit staat vast dat een land buiten de Europese Economische Ruimte een passend beschermingsniveau biedt voor persoonsgegevens en dat persoonsgegevens ‘vrij’ doorgegeven mogen worden. In dit artikel lichten wij kort toe wat er verandert voor uw organisatie.

Passend beschermingsniveau in de VS

Het adequaatheidsbesluit voor de VS is gegeven ten aanzien van het EU-VS-kader voor gegevensbescherming (“kader”). Dit kader werd opgesteld tussen de EU en de VS om een veilige en eenvoudige gegevensdoorgifte te waarborgen, waarbij afspraken zijn gemaakt over onder meer:

• beginselen, rechten en verplichtingen die vergelijkbaar zijn met hetgeen geldt binnen de EU op basis van de Algemene Verordening Gegevensbescherming (“AVG”). Denk hierbij aan het beginsel van doelbinding, dataminimalisatie, transparantie en goede beveiliging. Zo moeten Amerikaanse bedrijven nu een privacyverklaring hebben gericht op EU-inwoners, gelden er extra waarborgen voor het verwerken van bijzondere categorieën persoonsgegevens, zoals gegevens over de gezondheid, en hebben EU-inwoners rechten in de VS, zoals het inzagerecht en het rectificatierecht.
• het opleggen van beperkingen aan Amerikaanse inlichtingendiensten. De toegang tot en het gebruik van Europese persoonsgegevens door Amerikaanse inlichtingendiensten wordt beperkt tot wat noodzakelijk en evenredig is voor strafrechtelijke handhaving en de bescherming van de nationale veiligheid.
• er wordt een Data Protection Review Court opgericht in de VS, welke zich bezig zal houden met het onafhankelijk onderzoeken en oplossen van klachten van Europese betrokkenen ten aanzien van Amerikaanse inlichtingendiensten. Deze instantie kan ook bindende maatregelen opleggen, zoals een bevel de persoonsgegevens te verwijderen of de verwerking van persoonsgegevens te beperken.

Amerikaanse bedrijven dienen zich wel (aantoonbaar) te verbinden aan dit kader en de voorschriften uit dit kader. Zo dienen zij zich te houden aan de verplichting om persoonsgegevens te verwijderen wanneer deze niet langer noodzakelijk zijn voor het doel waarvoor de gegevens zijn verzameld, en moet de bescherming ook worden gegarandeerd wanneer persoonsgegevens (verder) worden verstrekt aan derden. Amerikaanse bedrijven kunnen hiervoor een certificaat verkrijgen, die ze jaarlijks moeten vernieuwen. Heeft een bedrijf geen certificaat, dan is het niet toegestaan persoonsgegevens te delen met dit bedrijf zonder aanvullende waarborgen.

Wat betekent dit voor uw praktijk?

Wanneer persoonsgegevens vanuit de EU worden doorgegeven aan Amerikaanse bedrijven die zich aan dit kader verbinden door middel van een certificaat, dan kan dit vanaf deze week op basis van het nieuwe adequaatheidsbesluit. Dit betekent dat er dus geen modelcontracten meer hoeven te worden gesloten en er geen aanvullende waarborgen voor gegevensbescherming meer nodig zijn voor gegevensdoorgiften naar de VS. Uiteraard is het wel altijd verstandig om te controleren of uw gegevensdoorgifte voldoende veilig en beveiligd is. Wilt u gebruik maken van de diensten van een Amerikaanse partij, dan blijft ook gelden dat er mogelijk een verwerkersovereenkomst gesloten moet worden. Uw huidige modelcontracten zullen daarmee in beginsel niet langer nodig zijn, maar deze bewaren kan zeker geen kwaad. Controleer eerst of het Amerikaanse bedrijf zich daadwerkelijk verbindt aan het kader en de voorschriften uit het kader ook naleeft. Ook kan uw huidige modelcontract nog gelden als verwerkersovereenkomst, indien nodig. Bovendien stemmen de onderlinge afspraken in de modelcontracten in grote lijnen overeen met de verplichtingen die volgen uit het kader.

Heeft u vragen over internationale gegevensdoorgiften?

Neem gerust contact op met Kim de Bonth, Femmie Schets of Ruben Krul.