Trans-Atlantic Data Privacy Framework

Er is licht aan de privacy horizon. Volgens een persbericht van 25 maart 2022 hebben de Europese Commissie en de Verenigde Staten nieuwe afspraken gemaakt; het Trans-Atlantic Data Privacy Framework (TADPF).

uitwisseling met VS

De TADPF gaat het weer mogelijk maken om persoonsgegevens uit te wisselen met (servers in) de Verenigde Staten. En veel ICT dienstverleners slaan gegevens op, op servers in de VS. Sinds een uitspraak van het Hof van Justitie EU uit 2020 (de z.g. Schrems II uitspraak) werd het lastig om nog gebruik te maken van deze ICT dienstverleners. Een eerdere versie van het Trans-Atlantic Data Privacy Framework, het EU-VS privacyshield, werd door die uitspraak EU ongeldig verklaard.

privacyshield ongeldig door Schrems II

De belangrijkste reden dat het EU-VS privacyshield ongeldig werd, was dat de bescherming van persoonsgegevens in de VS niet voldoende was gewaarborgd. De Algemene Verordening Gegevensbescherming (AVG) staat ‘export’ van persoonsgegevens vanuit Europa naar partijen (zoals ICT dienstverleners) buiten Europa alleen toe, als het niveau van bescherming gelijkwaardig is aan dat van Europa. En dat was volgens het Hof van Justitie EU niet het geval. Nou werd de spreekwoordelijke soep ogenschijnlijk niet zo heet gegeten als opgediend.

Nog regelmatig ontving ik in de afgelopen maanden Mailchimp nieuwsbrieven (die mails met onderin het bekende logo met een aapje). Maar juist Mailchimp is zo’n partij die (persoons)gegevens opslaat op servers in de VS. Ook Facebook Connect en Google Analytics maken gebruik van servers in de VS. Met name Google Analytics werd daarom verboden in Oostenrijk en Frankrijk na diverse klachten van de Stichting None of Your Business.

Hervormingen in VS

Het factsheet dat de EU beschikbaar stelt laat zien dat de VS diverse hervormingen doorvoert. Met name ook om de privacy van EU onderdanen te waarborgen:

  • zo komen er nieuwe waarborgen die toegang tot data door veiligheidsdiensten in de VS aan banden leggen;
  • ook komt er een Data Protection Review Court die klachten onderzoekt van EU onderdanen.

Maar met het persbericht zijn we er nog niet. De gemaakte afspraken moeten nog worden ‘omgezet’ in Europese en Amerikaanse wetgeving. En dat zal zeker enkele maanden duren. Toch geeft dit weer licht aan de privacy horizon en hopelijk wordt dit snel geregeld.

Meer weten over privacy? Volg ons blog. Neem gerust contact op.

Categories:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

misbruik van het recht op inzage heijink en meure advocaten Vissen naar (fraude)dossiers met de AVG? Nee!
De AVG is geen middel om te vissen naar bewijs voor straf- of tuchtrechtelijke procedures.