De EU-US Data Privacy Framework is een feit: nieuwe grondslag voor het doorgeven van persoonsgegevens naar de Verenigde Staten
De Europese Commissie heeft een adequaatheidsbesluit voor het EU-US Data Privacy Framework aangenomen. Dat meldde de Europese Commissie gisteren op haar website, waar zij ook het adequaatheidsbesluit zelf publiceerde.
In het adequaatheidsbesluit wordt geconcludeerd dat het EU-US Data Privacy Framework een passend beschermingsniveau garandeert – vergelijkbaar met dat van de Europese Unie – voor de doorgifte van persoonsgegevens door Europese bedrijven aan bedrijven in de Verenigde Staten die deelnemen aan het Framework. Voor die bedrijven is het niet langer nodig om aanvullende waarborgen voor gegevensbescherming in te voeren.
Voorheen bestond er een ander adequaatheidsbesluit, het Privacy Shield, als basis voor doorgifte van persoonsgegevens vanuit de Europese Unie naar gecertificeerde bedrijven in de Verenigde Staten. Het Hof van Justitie van de Europese Unie heeft het Privacy Shield in 2020 echter ongeldig verklaard in de zaak Schrems II. Het Hof van Justitie oordeelde in die zaak dat dat het Privacy Shield onvoldoende bescherming garandeerde omdat EU-burgers geen rechtsmiddel hadden om te klagen over de verwerking van hun persoonsgegevens en omdat de toegang van Amerikaanse overheidsinstanties tot de persoonsgegevens niet beperkt was tot het strikt noodzakelijke, terwijl dit op grond van de Algemene Verordening Persoonsgegevens wel vereist is.
Met de EU-US Data Privacy Framework zijn er nieuwe bindende waarborgen geïntroduceerd die tegemoet komen aan deze bezwaren van het Europese Hof van Justitie.
We zullen moeten afwachten of critici niet alsnog aanknopingspunten vinden om ook de EU-US Data Privacy Framework aan te vallen. Voor nu geldt in ieder geval: De EU-US Data Privacy Framework is een feit. En daarmee ook de nieuwe grondslag voor doorgifte van persoonsgegevens aan bedrijven in de Verenigde Staten zonder het invoeren van aanvullende waarborgen.