Op 20 september 2023 werd in het Publicatieblad van de Europese Unie de beslissing van 10 juli 2023 gepubliceerd tot aanname van een nieuw adequaatheidsbesluit voor ondernemingen in de Verenigde Staten van Amerika die onder het Data Privacy Framework (DPF) zijn gecertificeerd. Dit maakt het weer mogelijk om met veel minder zorgen gegevens te delen met Amerikaanse organisaties. Voorlopig toch.

Mocht je dan geen Amerikaanse tools meer gebruiken?

Organisaties die zich deze vraag stellen zijn de voorbije jaren door de mazen van het net gekropen. Sinds juli 2020 was data export naar de VS quasi onmogelijk geworden als gevolg van het Schrems-II arrest van het Hof van Justitie. Daarin werd het toenmalige EU-VS Privacyschild ongeldig verklaard en werden er verregaande verplichtingen opgelegd aan ondernemingen die gebruik willen maken van Amerikaanse tools (zie onze eerdere newsflash). De reden hiervoor ligt kortgezegd in het ontbreken van een adequaat niveau van bescherming van persoonsgegevens in de VS.

Veel Amerikaanse ondernemingen waren gecertificeerd onder dit Privacyschild waardoor het erg eenvoudig was om aan gegevensuitwisseling te doen. Voor gegevensuitwisseling buiten de Europese Economische Ruimte (EU + IJsland, Noorwegen en Liechtenstein) is er namelijk een transfermechanisme nodig. Het adequaatheidsbesluit is zo een mechanisme waarmee de Europese Commissie aangeeft dat een bepaald land voldoende waarborgen biedt voor de bescherming van persoonsgegevens. Voor de VS werd hieraan de voorwaarde verbonden dat de Amerikaanse onderneming gecertificeerd moest zijn onder het Privacyschild.

Doordat het Privacyschild ongeldig werd verklaard moesten ondernemingen op zoek naar een ander transfermechanisme voor de doorgifte van persoonsgegevens naar de VS. Deze vonden de meeste ondernemingen in de herwerkte Standaard Contractuele Clausules (SCCs) van de Europese Commissie. Alleen volstonden deze SCCs op zich niet volgens het Hof van Justitie: ondernemingen dienden in functie van een diepgaande analyse (zogenaamde Data Transfer Impact Analyse of DTIA) te onderzoeken of supplementaire maatregelen aan de orde waren. Het ging dan onder meer om maatregelen als encryptie, anonimisatie en pseudonimisatie. Pas zodra er voldoende maatregelen waren genomen zodat het niveau van bescherming kon worden gegarandeerd, mocht een onderneming eindelijk gebruik maken van Amerikaanse tools zoals Google Analytics en Mailchimp. In de praktijk waren deze maatregelen vaak erg inefficiënt of veel te duur, wat er toe leidde dat er sneller voor Europese alternatieven werd gekozen.

Tijd om terug zorgeloos data te delen met de Verenigde Staten

Een goede twee jaar na het Schrems-II arrest bereikten de Amerikaanse president Joe Biden en de voorzitter van de Europese Commissie Ursula von der Leyen plots een akkoord. Dit akkoord werd verzegeld in een presidentiële Executive Order. Vervolgens kwam er een opvolger van het Privacyschild genaamd het Data Privacy Framework. Amerikaanse bedrijven kunnen zich hieronder certificeren en vallen zo binnen het toepassingsgebied van het adequaatheidsbesluit. Voor bedrijven die in het verleden reeds gecertificeerd waren onder het Privacyschild was de overgang overigens bijzonder eenvoudig.

Het grote gevolg van dit adequaatheidsbesluit is dat het nu weer veel eenvoudiger is om Amerikaanse tools te gebruiken. Want voor organisaties die gecertificeerd zijn onder het DPF moet je namelijk geen SCCs meer sluiten en bijkomende maatregelen nemen. Ook voor bedrijven die niet gecertificeerd zijn onder het DPF wordt het veel eenvoudiger. Er zullen wel nog SCCs moeten worden gesloten of er moet beroep worden gedaan op een ander doorgiftemechanisme, maar je zal in veel gevallen geen verregaande bijkomende maatregelen meer moeten nemen. De Europese Commissie verduidelijkte in een Q&A dat de maatregelen genomen door de VS betrekking hebben op alle doorgiften naar de VS, ongeacht het doorgiftemechanisme.

Geen stabiele oplossing

Aangezien er op zich geen afdoende inhoudelijke wijzigingen zijn doorgevoerd aan de Amerikaanse wetgeving sinds het Schrems-II arrest, kon het ook niet anders dan dat de gekende privacy voorvechter Max Schrems het nieuwe DPF zou aanvechten. Hij verwacht dat de zaak tegen eind 2023 – begin 2024 weer voor het Hof van Justitie zal voorkomen. Dan heeft het Hof van Justitie de mogelijkheid om het DPF te schorsen gedurende de tijd van de procedure. De finale beslissing van het Hof van Justitie verwacht hij in 2024 of 2025.

Begin september werd bekend dat reeds een zaak tegen het DPF aanhangig is gemaakt voor het Gerecht (van de Europese Unie). Al moet hier meteen ook de kanttekening bij worden gemaakt dat de slaagkansen laag worden ingeschat.

De tijd zal moeten uitwijzen of het DPF stand houdt. Gelet op de eerdere overwinningen van Schrems en het feit dat er in wezen geen noemenswaardige wijzigingen zijn doorgevoerd, is het niet onwaarschijnlijk dat hij weer een succes binnenhaalt. Je doet er dus nog steeds goed aan om Europese alternatieven te onderzoeken of voldoende bijkomende waarborgen te nemen bij het gebruik van Amerikaanse tools.

Op zoek naar alternatieven

In afwachting van de finale uitkomst kan je je met deze stappen al voorbereiden op de toekomst:

• Breng alle tools binnen het bedrijf in kaart (vendor due diligence).
• Ga op zoek naar gelijkwaardige alternatieven binnen Europa.
• Implementeer bijkomende maatregelen bij je Amerikaanse tools.