Bedrijven en organisaties die persoonsgegevens van de Europese Unie naar de Verenigde Staten willen doorgeven, moeten er rekening mee houden dat daarover nog geen definitief akkoord is. Zij riskeren een boete als ze zich niet aan de geldende voorwaarden houden. Maar welke voorwaarden zijn dat? ‘Bedrijven en organisaties die data willen delen, moeten zich houden aan de Algemene verordening gegevensbescherming. Dat geldt ook voor Amerikaanse bedrijven’, zegt Bart van der Sloot, associate professor van het Tilburg Institute for Law.
Het Hof van Justitie van de EU verklaarde in 2020 het eerdere akkoord, het zogeheten Privacy Shield, ongeldig. Wat ging daaraan vooraf?
‘De Europese Commissie heeft al een aantal keer een akkoord gesloten met de Verenigde Staten. Daarvan heeft het Europese Hof van Justitie gezegd: die akkoorden beschermen de EU-burgers onvoldoende. Dit is het derde akkoord op rij dat wordt gesloten.
De zaken staan bekend als de Max Schrems-zaken. Schrems, een Oostenrijks burger, heeft de besluiten van de Europese Commissie steeds aan het Europese Hof van Justitie voorgelegd. En het Europese Hof is kritisch. De Europese Commissie is erg geneigd om steeds snel weer een nieuw akkoord te sluiten, omdat er veel economische activiteit is tussen de twee continenten. Het Hof van Justitie legt juist de nadruk op de bescherming van fundamentele rechten, zoals het recht op privacy en gegevensbescherming.’
We zitten nu tussen twee akkoorden. Mogen bedrijven op dit moment wel persoonsgegevens doorgeven aan de VS?
‘Officieel, zonder akkoord, is dat heel lastig. Als een organisatie in de EU data wil delen met een organisatie in de VS, dan moet eerst zeker zijn dat de Amerikaanse organisatie zich ook aan de Algemene Verordening Gegevensbescherming (AVG) houdt. Ook heb je een grondslag nodig op basis waarvan je data deelt.’
Data doorgeven kan dus wel, maar bedrijven riskeren een boete als het niet goed gebeurt. Wat zijn nu de geldende voorwaarden?
‘In de AVG staan voor datadeling een aantal mogelijkheden. Datadeling binnen de EU is het makkelijkst, omdat landen een beschermingsniveau hebben dat gelijk is aan het onze. Dan mogen data worden gedeeld, zonder verdere waarborgen. Als een land gelijksoortige beschermingsregels aanneemt als de EU kan het ook. Met de VS kan dat niet, omdat ze geen sterke privacybescherming hebben en daarop ook ander beleid voeren.’
Wat kan een bedrijf dat data wil delen met de VS in zo’n geval doen?
‘Je kunt op basis van contracten standaardbepalingen per bedrijf afspreken. Tussen organisatie A in de EU en organisatie B in de VS bijvoorbeeld. Het bedrijf in de VS gaat dan akkoord met het toepassen van de AVG, ook al zijn die data in de VS opgeslagen. Dit staat ook in het huidige principeakkoord tussen de Europese Commissie en de VS.
Een andere mogelijkheid is incidentele datadeling, voor als een organisatie eenmalig data deelt of een paar keer. Ondernemingen gebruiken deze sluiproute niet veel, omdat het heel tijdrovend is. Per datadeling moet worden nagegaan of deze in overeenstemming is met de EU-regels over privacy en gegevensbescherming, en krijg je toestemming, of niet. Of je moet bijvoorbeeld onderbouwen waarom de datadeling nodig is voor het algemeen belang. De AVG noemt dit afwijkingen voor specifieke situaties, in artikel 49.’
Wat zegt de AVG over datadeling?
‘Artikel 44 en verder gaan over datadeling. Je ziet een aantal opties: het makkelijkst is het als er een adequaatheidsbesluit ligt. Dat staat in artikel 45. Dan zegt de EU: dit land heeft wetgeving die gelijk is aan de AVG. Artikel 46 en 47 gaan over contractuele afspraken tussen bedrijven en organisaties, gebaseerd op standaardbepalingen zoals vastgesteld door de Europese Commissie of goedgekeurd door de Autoriteit Persoonsgegevens. Dan kun je zeggen: tussen deze twee bedrijven of organisaties mogen standaard gegevens worden verwerkt. Dan zou het Amerikaanse bedrijf dus moeten zeggen: we houden ons aan de AVG. Als dat niet kan, kun je kijken naar artikel 49 voor specifieke situaties.’
Welke bedrijven betreft het vooral?
‘Heel veel bedrijven verwerken persoonsgegevens over EU-burgers en elke organisatie die iets met gegevens van EU-burgers doet, moet zich aan de AVG houden. Bij sommige bedrijven is de AVG direct van toepassing, zoals bij Amazon en Apple, omdat ze een bedrijfsvoering hebben in de EU. Met organisaties die geen vestigingen hebben en geen diensten aanbieden in de EU, maar wel gegevens verwerken over EU-burgers, moet een aparte afspraak worden gemaakt. Dat ze zich houden aan de AVG, of een soortgelijke standaard.’
