Het ontwerpbesluit van het ‘EU-US Data Privacy Framework’ (DPF) is gepubliceerd. Wat nu?

19-12-2022 - Op 13 december heeft de Europese Commissie (EC) het formele startsein gegeven voor de vaststelling van een adequaatheidsbesluit voor het ‘EU-US Data Privacy Framework’ (DPF). De EC heeft namelijk het ontwerpbesluit van het DPF gepubliceerd en gedeeld met de European Data Protection Board (EDPB). Het DPF dient de veiligheid van trans-Atlantische doorgiften van persoonsgegevens te bevorderen, met inachtneming van de tekortkomingen zoals vastgesteld in de Schrems II zaak. 

De publicatie van het ontwerpbesluit was de volgende stap die verwacht werd nadat in oktober 2022 een Amerikaans Executive Order door president Biden was ondertekend. De ondertekening van het Executive Order was op zijn beurt het gevolg van het principeakkoord dat EC president von der Leyen en VS president Biden in maart 2022 hadden aangekondigd. De publicatie van het ontwerpbesluit mid december kwam sneller dan initieel verwacht. Wat dit betekent, leest u in dit artikel. 

Wat bepaalt het ontwerpbesluit? 

In het ontwerpbesluit wordt door de EC geconcludeerd dat de VS (met inachtneming van het recente Executive Order) een passend beschermingsniveau biedt voor persoonsgegevens die vanuit de EU aan organisaties in de VS worden doorgegeven, op voorwaarde dat die organisaties in de VS zijn aangesloten bij het DPF. Deze laatste toevoeging is van belang, organisaties dienen zich namelijk eerst aan te sluiten bij het DPF door zichzelf te certificeren. Het adequaatheidsbesluit in kwestie is dus niet direct van toepassing op alle entiteiten in de VS. Dat verschilt van andere adequaatheidsbesluiten waarbij dit vaak wel het geval is en persoonsgegevens direct kunnen worden doorgegeven aan het derde land, zoals bijvoorbeeld recentelijk bij het adequaatheidsbesluit voor het VK. 

Is het aansluiten bij het DPF verplicht als het gaat om doorgiften naar de VS? 

Het aansluiten bij het DPF is voor organisaties geen verplichting. Organisaties in de VS zijn vrij om te bepalen of zij zich willen aansluiten bij het DPF door zichzelf te certificeren. Doen zij dit niet, dan zullen zij, voor zover zij persoonsgegevens vanuit organisaties in de EU ontvangen, gebruik moeten maken van één van de andere doorgifte mechanismen die de AVG kent (zoals bijvoorbeeld de EU Standard Contractual Clauses, EU SCCs). Naar verwachting zullen lang niet alle organisaties zich aansluiten bij het DPF, mede gezien de voorbereidingen en maatregelen die door organisaties genomen dienen te worden voordat zij zich certificeren. Deze situatie was hetzelfde onder de voorgangers van het DPF (Safe Harbor en Privacy Shield), waar lang niet alle organisaties ervoor kozen om zich te certificeren. 

Toch zal het aansluiten bij het DPF voor een groot aantal organisaties wel degelijk de uitkomst bieden voor de doorgiften van persoonsgegevens naar de VS. Voor organisaties die eenmaal aangesloten zijn, en voor zover zij de naleving met de voorwaarden van het DPF kunnen blijven garanderen, zullen doorgiften tussen de EU en de VS in beginsel eenvoudiger worden. Daarbij komt dat voor doorgiften in het kader van het DPF geen Data Transfer Impact Assessments (DTIAs) vereist zijn, iets wat organisaties vandaag de dag veel middelen en tijd kost.  

In hoeverre het DPF ook daadwerkelijk een toekomstbestendige uitkomst biedt, is lastig om te voorspellen. Het ligt in de lijn van verwachting dat ook het nieuwe DPF in de toekomst onder de loep genomen zal worden door het Europees Hof van Justitie, zoals dat voorheen ook gebeurde in de bekende Schrems zaken. 

Wat biedt het DPF?  

Organisaties in de VS die toetreden tot het DPF zullen zich ertoe verbinden een gedetailleerde reeks privacy verplichtingen na te leven, waaronder de verplichting om persoonsgegevens te wissen wanneer ze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, en om de continuïteit van de bescherming te waarborgen wanneer persoonsgegevens met derden worden gedeeld. Ook zullen personen in de EU beschikken over verschillende mechanismen indien hun persoonsgegevens in strijd met het DPF worden behandeld, zoals een onafhankelijk geschillenbeslechtingsmechanisme en een arbitragepanel. 

De EC stelt mede dat het rechtskader van de VS voorziet in een aantal belangrijke beperkingen en waarborgen met betrekking tot de toegang tot gegevens door overheidsinstanties van de VS. Met name op het gebied van strafrechtelijke handhaving en nationale veiligheidsdoeleinden. De EC is van mening dat de toegang tot Europese persoonsgegevens door Amerikaanse inlichtingendiensten beperkt wordt tot wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen. Voor een meer diepgaand overzicht van wat er in het Executive Order is vastgelegd, kunt u hier onze eerdere blog lezen. 

Samengevat stelt de EC in haar ontwerpbesluit dat het DPF, in combinatie met de regels die zijn ingevoerd door het Executive Order, een passend beschermingsniveau biedt voor persoonsgegevens die vanuit de EU aan organisaties in de VS worden doorgegeven. 

Wat gebeurt er nu? 

Het ontwerpbesluit zal nu de formele goedkeuringsprocedure doorlopen. Als eerste stap is het ontwerpbesluit voorgelegd aan de EDPB. Daarna zal het ontwerpbesluit goedgekeurd moeten worden door een comité bestaande uit vertegenwoordigers van alle EU-lidstaten, waarvan een stemming met gekwalificeerde meerderheid vereist is voor goedkeuring. Bovendien zal het Europees Parlement zich uitlaten over het DPF in de vorm van een resolutie. Enkel nadat deze procedure is afgerond, kan de EC overgaan tot de vaststelling van het definitieve besluit inzake adequaatheid. 

Considerati zal het bovenstaande goedkeuringsprocedure nauwlettend volgen. Het zal met name interessant zijn om het advies van de EDPB en de resolutie van het Europees Parlement in de gaten te houden, gezien de invloed die zij hebben ondanks hun niet bindende karakter. In hoeverre deze invloed gevolgen zal hebben op de uiteindelijke totstandkoming van het DPF, zal de komende maanden moeten blijken. Het is de verwachting dat de goedkeuringsprocedure ongeveer 6 maanden zal duren. In de tussentijd zullen doorgiften van de EU naar de VS op basis van andere doorgifte mechanismen gewaarborgd moeten worden.