Staatssecretaris Zsolt Szabó heeft, een dag voordat de Europese Commissie met een reactie komt op de ingrepen van de regering Trump in de Privacy and Civil Liberties Oversight Board (PCLOB), een kabinetsstandpunt bekendgemaakt over de druk op het data privacy framework.
Centraal in de brief staat de vraag naar de houdbaarheid van de afspraken tussen de EU en de VS over privacy/gegevensbescherming. Ook wordt ingegaan op de gevolgen als gegevensuitwisseling met de VS onder deze afspraken – het zogeheten data privacy framework (DPF) – niet meer mogelijk is.
Het ontslag van leden van het Privacy and Civil liberties Oversight Board (PCLOB) staat, zelfs als dit leidt tot het ontbreken van een quorum, de uitvoering van deze taak van dit orgaan niet onmiddellijk in de weg, aldus de staatssecretaris, maar de Europese Commissie blijft het functioneren monitoren.
Ook een ander scenario is mogelijk
Maar de staatssecretaris gaat ook in op de mogelijkheid als blijkt dat bij de structurele doorgifte van persoonsgegevens naar de VS onder het DPF niet langer een passend en met de AVG vergelijkbaar beschermingsniveau wordt geboden. De EC dient dan, voor zover dat nodig is, over te gaan tot intrekking, wijziging of (tijdelijke) schorsing van (een deel van) het huidige adequaatheidsbesluit, gericht op het DPF, aldus de brief. “De doorgifte van persoonsgegevens naar diensten in de VS kan dan, vanzelfsprekend, niet langer plaats vinden op basis van het DPF,” aldus Szabó.
Extra maatregelen
Bij afwezigheid van een adequaatheidsbesluit, bijvoorbeeld in het geval dat het DPF niet meer van kracht zou zijn, schrijft de AVG voor dat doorgifte aan een derde land – buiten de Europese Economische Ruimte of EER – slechts mag plaatsvinden indien daarbij passende waarborgen worden geboden zoals bedoeld in artikel 46, lid 2, AVG.
En bij gegevensdoorgifte naar individuele leveranciers in de VS ten behoeve van de cloud, kunnen passende waarborgen bijvoorbeeld worden gevonden in bindende bedrijfsvoorschriften die zijn toegestaan door een toezichthoudende autoriteit en ‘standard contractual clauses’ (SCC’s ofwel modelcontracten) inzake gegevensbescherming die zijn vastgesteld door de EC of die zijn vastgesteld door een toezichthoudende autoriteit. Ofwel: bij het wegvallen van het DPF zullen bedrijven met SSC’s aan de slag moeten.
Onderuit
Bart Schellekens, als data- en techjurist onder meer betrokken bij Privacy First, maar ook voorzitter van de kennisgroep AVG en Privacy bij het ministerie van Financiën, spoort bedrijven aan om scenario’s op te stellen voor het geval “het DPF onderuit gaat”. De Europese Commissie zou op 19 maart met een reactie komen. (Ziptone)
Ook interessant
-
Welke prijs betalen bedrijven straks voor hun afhankelijkheid van Amerikaanse techreuzen als het EU-U.S. Data…
-
Wat zijn de belangrijkste arbeidsmarkt-gerelateerde plannen van het nieuwe kabinet, relevant voor klantcontactprofessionals? Ziptone zet…
-
Het nieuwe kabinet heeft de afgelopen weken gediscussieerd over het regeerprogramma. Wat staat daarin over…