het EU-VS Data Privacy Framework als legale basis voor doorgifte naar de VS


Auteur: Legal Counsel Korneel van Baars en Chief Quality Officer Peter Kager.


Gisteren heeft de Europese Commissie haar adequaatheidsbesluit voor het ‘EU-US Data Privacy Framework’ aangenomen. We mogen weer persoonsgegevens naar de VS sturen. En dat terwijl het Europees Parlement nog niet zo lang geleden kritisch was.

In het besluit is vastgelegd dat de Verenigde Staten een passend beschermingsniveau waarborgen voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven aan Amerikaanse bedrijven. Wel met een belangrijke mits. De bedrijven moeten deelnemen aan het ‘EU-US Data Privacy Framework’ (DPF). Waar kennen we dat mechanisme ook alweer van? Wat betekent dit nu precies voor jou?

Een kleine recapitulatie

Er is al veel gezegd over het rechtmatig versturen van persoonsgegevens naar bedrijven in de VS. De laatste jaren stonden voornamelijk in het teken van de intensieve onderhandelingen tussen de EU en de VS hierover.  

Deze onderhandelingen vonden plaats naar aanleiding van een eerdere uitspraak van het Hof van Justitie van de Europese Unie, in de zaak Schrems II. Het HvJEU wees in deze zaak op de onevenredige toegang van Amerikaanse veiligheidsdiensten tot Europese bulkgegevens en op de ontoereikende mogelijkheid van de EU-burger om dit aan te vechten.

Doorgifte van persoonsgegevens naar bedrijven in de VS kon sindsdien eigenlijk alleen via de zogeheten Standard Contractual Clauses, waar we in een eerdere blog al reeds bij stil stonden. Voorwaarde was wel dat daar een uitgebreide risicoanalyse bij werd uitgevoerd in de vorm van een DTIA.

Dat hoeft nu niet meer. Door het DPF is doorgifte van gegevens naar de VS een stuk makkelijker geworden. 

Het EU-US Data Privacy Framework

Het DPF is bedoeld om ervoor te zorgen dat de Amerikaanse inlichtingendiensten alleen toegang hebben tot gegevens voor zover dat noodzakelijk en evenredig is. Ook wordt met het DPF beoogd om een onafhankelijk en onpartijdig verhaalmechanisme in te stellen, om klachten van EU-burgers over het verzamelen van hun gegevens te behandelen en op te lossen. Dat hebben we inderdaad eerder gehoord, dat waren namelijk deels de argumenten om het Privacy Shield te lanceren als opvolger van Safe Harbor.

Helder, maar wat betekent dit nu voor mij?

Op grond van het adequaatheidsbesluit kunnen Amerikaanse bedrijven persoonsgegevens uit de EU ontvangen zonder aanvullende waarborgen voor de doorgifte te hoeven invoeren, zolang deze Amerikaanse bedrijven zich houden aan de regels van het DPF. Kort gezegd betekent dit dat:

  • Het opnemen van Standard Contractual Clauses niet meer nodig is;
  • Het doen van een Data Transfer Impact Assessment (DTIA) niet meer nodig is;
  • Bestaande contracten intact kunnen blijven.

Tot slot

De discussie over het rechtmatig versturen van persoonsgegevens naar bedrijven in de VS is met het adequaatheidsbesluit voorlopig weer even geparkeerd. Voorlopig, omdat al twee keer eerder een soortgelijke constructie ongeldig is verklaard door het HvJEU. Het valt dus nog te bezien of de constructie dit keer wél in stand zal blijven. Voor het zover is zijn we echter alweer een paar jaar verder. In de tussentijd kunnen we persoonsgegevens vanuit de EU, zonder verdere voorwaarden of vergunningen, doorgeven aan bedrijven in de VS.


Voor verdere vragen of hulp bij dit onderwerp helpen onze specialisten je graag verder. Contact opnemen kan door te bellen naar +31 (0)20 663 1941 of door je vraag te stellen via het contactformulier.



https://www.ictrecht.nl/blog/delicaat-adequaat-het-eu-vs-data-privacy-framework-als-legale-basis-voor-doorgifte-naar-de-vs