EC wil binnen drie maanden nieuw akkoord met VS over data-export

EC wil binnen drie maanden nieuw akkoord met VS over data-export

De Europese Commissie wil binnen drie maanden een nieuw akkoord met de VS bereiken over de export van persoonsgegevens. Zolang een nieuwe overeenkomst uitblijft, ligt de verantwoordelijkheid bij bedrijven en toezichthouders.

“We moeten in de loop van de komende drie maanden een akkoord sluiten met onze partners in de Verenigde Staten”, stelt de vicevoorzitter van de Europese Commissie Andrus Ansip. Wat er in de tussentijd met onze data gebeurt, blijkt uit een publicatie van de Europese Commissie. Deze beschrijft de juridische regelingen die in aanmerking komen voor het versturen van persoonsgegevens naar landen buiten de EU. Tot voor kort werden deze datatransfers nog gebaseerd op de Safe Harbour-beschikking. Door de uitspraak van het Europese Hof van Justitie in een zaak die werd aangespannen door Max Schrems is deze regeling komen te vervallen. In de publicatie wordt een aantal alternatieven genoemd.

De dataprotectierichtlijn biedt naast adequacy decisions, waaronder de Safe Harbour-beschikking, ook andere mogelijkheden om persoonsgegevens te versturen. De Commissie gaat in zijn publicatie in op standard contractual clauses en binding corporate rules. De standaardcontractbepalingen zijn regels die zijn opgesteld door de Europese Commissie. Bedrijven kunnen deze regels gebruiken om datatransfers contractueel vast te leggen. De Commissie beoordeelt het gebruik van deze contracten zeer streng. Er is dan ook vrijwel geen ruimte om van de daarin genoemde waarborgen af te wijken.

Binding corporate rules zijn bindende regels die gelden binnen grote multinationals. Een dergelijk bedrijf kan deze regels opstellen op basis van Europese eisen. Vervolgens mogen binnen de multinational persoonsgegevens van EU-burgers ook buiten de EU worden gedeeld. Voor Facebook en Google ligt deze oplossing voor de hand; kleine en middelgrote bedrijven zonder vestigingen in het buitenland kunnen hier echter geen gebruik van maken. Tot slot bespreekt de Commissie een aantal aanvullende eisen voor datatransfers, waaronder toestemming van de burger en noodzakelijkheid van de transfer voor de uitvoering van een contract.

Er worden twee belangrijke voorwaarden genoemd bij het versturen van data op de zojuist genoemde manieren. Ten eerste moeten de persoonsgegevens in de EU zijn verzameld en verwerkt met inachtneming van de regels uit de dataprotectierichtlijn. Ten tweede moeten data-exporteurs zelf de risico’s schatten bij het versturen van de gegevens en zo nodig maatregelen nemen. Vervolgens moeten de nationale toezichthouders per geval onderzoeken of de exporteurs zich aan de regels houden. In Nederland is dat het College bescherming persoonsgegevens.

De Europese Commissie geeft aan dat het ontwikkelen van een nieuw kader voor de export van persoonsgegevens van de EU naar de VS ‘de hoogste prioriteit’ heeft. Er zijn sinds 2013 onderhandelingen onderweg. Na de Schrems-uitspraak zijn deze ‘intensiever voortgezet’. Het komt er dus op neer dat, totdat er een nieuw akkoord is, de verantwoordelijkheid voor de datatransfers bij de bedrijven en toezichthouders ligt. In oktober riepen de toezichthouders de Europese lidstaten en instellingen nog op om snel aan onderhandelingen te beginnen.

Door: Tweakers