Bent u een bedrijf dat persoonsgegevens uitwisselt tussen de EU en de VS? Zo ja, dan hebben we belangrijk nieuws voor u. Op 10 juli 2023 heeft de Europese Commissie haar goedkeuringsbeslissing over het EU-VS Data Privacy Framework (DPF) aangenomen.
Deze beslissing betekent dat de Verenigde Staten opnieuw worden erkend als een land dat een adequaat niveau van bescherming biedt aan zijn Europese Unie (EU) tegenhanger. Hierdoor kunnen persoonsgegevens nu vrijelijk stromen van de EU naar in de VS gecertificeerde bedrijven zonder de noodzaak voor extra waarborgen.
Dit heeft een aanzienlijke impact op bedrijven en organisaties die actief zijn in dataoverdracht tussen de EU en de VS. Het herstelt het vertrouwen en de zekerheid in transatlantische datatransfers die werden geschud na het Schrems II vonnis.
Het nieuwe raamwerk richt zich op de bezorgdheid die heeft geleid tot de ongeldigheid van het vorige Privacy Shield raamwerk. Het stelt meerdere belangrijke herzieningen voor, zoals het beperken van de toegang tot data door de Amerikaanse inlichtingendiensten tot wat als “noodzakelijk en evenredig” wordt beschouwd.
Voor de afgelopen drie jaar, het gebruik van Google Analytics en andere tools die persoonlijke data naar de VS stuurden was niet toegestaan. Dit betekende dat gebruikers te maken hadden met juridische onzekerheden en potentiële problemen met gegevensprivacy. Deze nieuwe beslissing heeft eindelijk duidelijkheid verschaft over de manieren waarop persoonsgegevensoverdrachten kunnen plaatsvinden.
Maar voordat gegevensstromen kunnen hervatten, moeten Amerikaanse dienstverleners zoals Google zichzelf certificeren met het EU-VS DPF. Hierin ligt een mogelijke oplossing, maar we moeten wachten op de dienstverleners die door deze beslissing zijn getroffen om hun zelfcertificeringsproces te voltooien. Zodra ze dat hebben gedaan, zouden website-eigenaren deze tools waarschijnlijk opnieuw kunnen gebruiken.
Een nieuw dubbel-laags mechanisme is geïntroduceerd om de verantwoording te verbeteren en de rechten van EU-personen te beschermen. Ook is het voor EU-personen, van wie de gegevens zijn overgedragen naar gecertificeerde Amerikaanse bedrijven, mogelijk om hun gegevens te raadplegen, correcties aan te vragen en toegang te krijgen tot klachtenroutes.
Het EU-VS DPF zal onderworpen zijn aan periodieke controles om ervoor te zorgen dat de naleving en effectiviteit continu worden gehandhaafd.
Op dit moment is er geen directe actie nodig. We moeten wachten tot Amerikaanse bedrijven het certificeringsproces voltooien voordat de gegevensstromen kunnen beginnen. De goedkeuringsbeslissing van de Europese Commissie betekent een belangrijke mijlpaal in de transatlantische gegevensprivacy.
bron: Europese Commissie