Het principeakkoord tussen de Europese Commissie en de VS over het doorgeven van persoonsgegevens vanuit de EU naar de VS is een goede eerste stap, maar het akkoord is nog niet definitief en daardoor blijven doorgiftecontracten met aanvullende maatregelen voorlopig nog nodig. Daarvoor waarschuwen de Europese privacytoezichthouders, verenigd in de European Data Protection Board (EDPB), in een gezamenlijke verklaring.
Organisaties die persoonsgegevens vanuit de EU naar de VS willen exporteren, kunnen dat daarom alleen doen als de bescherming van die persoonsgegevens voldoende is gewaarborgd, stelt de EDPB. Anders dreigt een boete. De Europese Commissie en de Amerikaanse regering kondigden hun ‘politieke principeakkoord’ op 25 maart aan.
Het Hof van Justitie van de EU verklaarde in 2020 het eerdere akkoord, het zogeheten Privacy Shield, ongeldig. Volgens het Privacy Shield was de bescherming van persoonsgegevens voldoende bij Amerikaanse bedrijven die volgens de regels van het Privacy Shield werkten. Organisaties konden daardoor makkelijk in de EU verzamelde persoonsgegevens naar de VS exporteren.
Boete
Maar de Europese rechter oordeelde dat de bescherming van persoonsgegevens in de VS ernstig tekort schoot. Amerikaanse inlichtingendiensten kunnen wettelijk toegang eisen tot data op Amerikaanse servers. Ook kunnen ze data onderscheppen die via onderzeekabels van de EU naar de VS gaan. Voor Europeanen is het moeilijk hiertegen juridische stappen te ondernemen.
Nieuwe afspraken tussen de EU en de VS zijn dus nodig. De EU en de VS onderhandelen om tot een nieuw, formeel ‘adequaatheidsbesluit’ te komen. Daarmee zou de EU erkennen dat in een land buiten de EU persoonsgegevens net zo goed beschermd zijn als in de EU.
Sinds het Privacy Shield is weggevallen, kunnen organisaties alleen persoonsgegevens vanuit de EU naar de VS exporteren als ze garanderen dat die gegevens veilig zijn. Dat kan via een zogeheten doorgiftecontract en met aanvullende maatregelen. Als dit niet kan, is het wellicht mogelijk via een uitzonderingsgrond. Mocht ook dat geen optie zijn, dan mogen persoonsgegevens niet aan de VS worden doorgegeven. Organisaties en bedrijven die dat toch doen, riskeren een boete.