EC neemt nieuwe privacyregels aan voor datadoorgifte aan VS


De Europese Commissie onderneemt een derde poging: het nieuwe EU-US Data Privacy Framework zou wel houdbaar zijn onder Europees recht. Dat las ik bij AG Connect. Nadat eerst Safe Harbor en Privacy Shield sneuvelde, zou een nieuwe afspraak tussen VS en EU op magische wijze wél binnen de Europese grondrechten moeten passen. Ik zeg: moehaha, geloof je het zelf.

De basis van het verhaal is bekend genoeg denk ik. In de jaren negentig was er een overeenkomst tussen de VS en Europa (Safe Harbor) die afspraken maakte waarmee het transporteren van persoonsgegevens naar (en gebruik daarvan in) de VS legaal zou zijn onder de voorloper van de AVG.

In 2015 werd deze getorpedeerd, omdat uit de Snowden-onthullingen was gebleken hóe ver de VS gaat in haar (naar Europese maatstaven illegaal) gebruik van dergelijke gegevens door Justitie en opsporingsdiensten. De opvolger heette Privacy Shield en sneuvelde in 2020 dankzij toedoen van privacy-activist Max Schrems, vandaar dat we deze prestatie “Schrems II” noemen.

Voor ondernemers is dat een probleem, want de Amerikaanse cloud is onbereikbaar als er geen AVG-afspraken zijn. Er werd dan ook snel en hard gewerkt door de politiek om een compromis te bereiken. Dat is nu dus gelukt: met een Executive Order regelde president Biden de nodige dingen aan Amerikaanse zijde, en nu heeft de Europese Commissie gezegd dat die regeling in orde is.

Maar is dat ook zo? Het gaat hier uiteindelijk om een juridisch probleem, ingegeven door schendingen van mensenrechten. Dus dan mag de politiek wel van alles willen, uiteindelijk is dit aan de juristen. De kern van het probleem is namelijk dat de VS niet keihard haar inlichtingendiensten wil verbieden aan die transatlantische data te komen, of met een apart onafhankelijk gerecht Europeanen in staat wil stellen om op te treden tegen misbruik van persoonsgegevens (in de zin van: strijdig met de AVG).

Ik citeer Schrems maar even:

  1. The “trick” here: the US will attribute another meaning to the word “proportionate” than the CJEU.
  2. The Ombudsperson mechanism wasrenamed and split to a Civil Liberties Protection Officer (CLPO) and a so-called “Court” (which is not a court, but a partly independent executive body).
  3. Finally, the US has refused to reform FISA 702 to give non-US persons reasonable privacy protections.

Als ik zelf het adequaatheidsbesluit doorlees, dan zie ik vooral héél veel woorden ter toelichting, maar eigenlijk geen concrete nieuwe maatregelen behalve waar Schrems hierboven al terecht commentaar heeft gegeven. En de EO van Biden doet ook inhoudelijk niets substantieels.

Als cynicus zou ik dan zeggen: wat had je dan verwacht, de transatlantische handel is belangrijker dan juridisch geneuzel, natuurlijk komt de politiek dan met een compromis. Maar het begint ondertussen best opzichtig te worden dat hier iets adequaat wordt genoemd dat het daadwerkelijk niet is.

Arnoud



https://blog.iusmentis.com/2023/07/12/ec-neemt-nieuwe-privacyregels-aan-voor-datadoorgifte-aan-vs/