Voor Europese bedrijven die gebruik maken van Amerikaanse clouddiensten is er weer meer zekerheid dat zij GDPR-compliant zijn, aldus Menno Weij van BDO. De Europese Commissie heeft op 10 juli 2023 het nieuwe EU-US Data Privacy Framework goedgekeurd.

 

Europese bedrijven die Amerikaanse clouddiensten gebruiken (SaaS-oplossingen voor routering, CRM of andere toepassingen; of cloudcapaciteit van hyperscalers zoals AWS of Azure) moeten er rekening mee houden dat de data die ze in Europese clouds van deze bedrijven laten opslaan, worden ‘doorgestuurd’ naar hun Amerikaanse moederbedrijven. Deze kunnen vervolgens, als er een bevel van de Amerikaanse overheid komt, data doorgeven aan Amerikaanse veiligheidsdiensten zoals de NSA. Het EU-US Privacy Shield zorgde tot halverwege 2020 voor een redelijke waarborg van de privacy van Europese burgers.

‘EU-US Privacy Shield’ verviel in 2020

In 2020 kwam dat EU-US Privacy Shield te vervallen, nadat het met succes op Europees niveau was aangevochten door de Oostenrijkse privacy-activist Max Schrems (inmiddels opererend onder NYOB: None Of Your Business). Ook aanvullende maatregelen werden daarna niet meer toereikend bevonden in diverse besluiten van nationale privacytoezichthouders. Het ging daarbij om toepassing van zogenaamde ‘Standard Contractual Clauses’ in combinatie met een Data Transfer Impact Assessment (DTIA), voorgesteld door de Europese Commissie en het overkoepelend orgaan van Europese Privacy toezichthouders (EDPB).

Nu is er een nieuwe regeling: het EU-US Data Privacy Framework

Nu is er een nieuwe en betere regeling voor de privacy van Europese burgers waarvan de data door Amerikaanse bedrijven worden verwerkt: het EU-US Data Privacy Framework (DPF).

“Belangrijk is ook dat Europese burgers tot voor kort bij geen enkele onafhankelijke instantie in Amerika terecht konden als ze vonden dat hun privacyrechten werden aangetast,” aldus Menno Weij (Partner Tech & Privacy Law, BDO Tax en Legal). “Consumenten die nu bijvoorbeeld een klacht willen indienen over de Amerikaanse NSA, kunnen naar hun eigen nationale privacytoezichthouder (zoals de AP in Nederland, red.). Die toezichthouder meldt zich bij de Europese Data Protection Officer die een eerste uitspraak doet. Wie verder wil, kan daarna bij een onafhankelijke rechtbank in beroep.”

Presidential order

Onderdeel van de nieuwe regeling is dat de VS de grenzen aan dataverzameling door Amerikaanse opsporingsdiensten inperkt: die blijven “beperkt tot hetgeen noodzakelijk en evenredig is om de nationale veiligheid te beschermen”. Dat is vastgelegd in de vorm van een presidential order van de Amerikaanse president Biden. Ook de oprichting van het onafhankelijke en onpartijdige beroepsmechanisme voor EU-burgers is onderdeel van dat presidentiële uitvoeringsbevel.

Dat presidential order-mechanisme is meteen ook de zwakke plek in de nieuwe regeling, aldus Weij: “Zo’n presidential order is niet in beton gegoten en kan dus gemakkelijk worden teruggedraaid door de zittende of een nieuwe president. Ook privacy-activist Max Schrems heeft kritiek op dit element. Het zou mijns inziens beter zijn als de Amerikanen dit permanent vastleggen in hun wetgeving.”

Conclusie

Het goede nieuws? “Na een periode van onzekerheid is er nu weer een nieuwe regeling die onder meer toeziet op het gebruik van gegevens van Europese burgers door de Amerikaanse veiligheidsdiensten en de rechten die Europese burgers daar tegenin kunnen brengen”, zegt Weij. Voor de klantcontactsector betekent dit “dat er weer duidelijke juridische kaders zijn voor het gebruik van clouddiensten van Amerikaanse aanbieders van cloudgebaseerde software. Het gebruik van dat soort diensten is weer conform de GDPR of AVG.”

De vraag is voor hoe lang deze nieuwe zekerheden gelden. Max Schrems heeft via zijn NOYB-vehikel al aangekondigd ook het nieuwe EU-US Data Privacy Framework aan te vechten. (Ziptone/Erik Bouwer)

Featured, Technologie