Home / Nieuwe ontwikkelingen in gegevensoverdracht tussen de EU en de VS

Nieuwe ontwikkelingen in gegevensoverdracht tussen de EU en de VS

Last updated: juli 17, 2023

Legal updates

Claudio Berther

Legal and Data Protection Officer

De overdracht van gegevens tussen de Europese Unie en de Verenigde Staten is waarschijnlijk een van de meest omstreden privacyonderwerpen van de afgelopen jaren.

Dit artikel zal enig licht werpen op het adequaatheidsbesluit dat op 10 juli 2023 door de Europese Commissie is gepubliceerd, en het nieuwe EU-VS-kader voor gegevensprivacy.

Achtergrond

In 2013 onthulde Edward Snowden talrijke massasurveillanceprogramma’s van de Verenigde Staten aan het publiek.

NOYB (None of your Business), een non-profitorganisatie onder leiding van de Oostenrijkse advocaat Max Schrems, diende een klacht in over de overdracht van gegevens van Facebook Ireland naar het Amerikaanse moederbedrijf en werd daarna door de Amerikaanse toezichthoudende autoriteiten ingezien.

De toen geldende Safe Harbor-overeenkomst werd nietig verklaard, wat betekent dat deze niet langer als rechtsgrond kon worden gebruikt om de gegevens naar de Verenigde Staten door te geven.

In 2018 is de Algemene Verordening Gegevensbescherming in werking getreden. De opvolger van Safe Harbor, genaamd Privacy Shield, werd opnieuw uitgedaagd door NOYB. In het beroemde Schrems II-besluit van 16.7.2020 werd Privacy Shield teniet gedaan en kon het niet worden gebruikt als wettelijke basis om gegevens naar de Verenigde Staten door te geven.

In dit besluit werd ook gezegd dat de Modelcontractbepalingen nog steeds geldig waren, maar dat er aanvullende maatregelen moesten worden genomen, wat leidde tot nogal wat onzekerheid en veel vragen in zowel de privacygemeenschap als het bedrijfsleven.

De standaardcontractbepalingen zijn bijgewerkt op 4.6.2021 om enkele van de zorgen weg te nemen.

EU-VS-kader voor gegevensprivacy

De Amerikaanse regering en de vertegenwoordigers van de EU waren zich bewust van de noodzaak om de in het Schrems II-besluit genoemde tekortkomingen aan te pakken en onderhandelden over een derde overeenkomst, nu het EU-VS-gegevensprivacykader genoemd.

Gebaseerd op een uitvoeringsbesluit inzake “Enhancing Safeguards for United States Signals Intelligence Activities”, waarin nieuwe bindende waarborgen zijn ingevoerd om de door het Hof van Justitie aan de orde gestelde punten aan te pakken. Met name gegevens zijn alleen toegankelijk voor Amerikaanse inlichtingendiensten voor zover dat nodig en evenredig is.

Bovendien werd een onafhankelijk en onpartijdig verhaalmechanisme ingesteld om klachten van Europeanen over het verzamelen van hun gegevens voor nationale veiligheidsdoeleinden te behandelen en op te lossen.

Op basis van deze verbeteringen heeft de Europese Commissie op 10 juli 2023 een adequaatheidsbesluit voor de Verenigde Staten vrijgegeven.

Wat is een adequaatheidsbesluit?

Een adequaatheidsbesluit is een van de doorgiftemechanismen waarin de AVG voorziet om legaal gegevens naar een derde (d.w.z. niet-EU) land te verzenden.

De Europese Commissie heeft vastgesteld dat dit specifieke land en zijn wetten en praktijken een adequate bescherming van de privacy van personen bieden en dat gegevens zonder aanvullende voorwaarden naar dit land kunnen worden overgedragen.

Een lijst met landen waarvoor dit geldt, vindt u hier.

Een opmerking voor onze Zwitserse klanten

De Zwitserse Federal Data Protection and Information Commissioner (FDPIC) heeft de volgende verklaring gepubliceerd. De gegevensoverdracht is legaal, zelfs als de onderhandelingen over een overeenkomst nog gaande zijn. Yokoy is ook klaar voor de nieuwe Zwitserse federale wet inzake gegevensbescherming die op 1 september 2023 van kracht wordt.

Vooruit kijken

Op dezelfde dag dat deze beslissing werd genomen, kondigde NOYB een nieuwe rechtszaak aan tegen deze beslissing. Het valt dus nog te bezien of het nieuwe raamwerk er is om te blijven of niet. Tot nu toe hebben de rechtbanken dergelijke kaders twee keer geschrapt en het is mogelijk dat dit een derde keer gebeurt.

Wat hebben we bij Yokoy gedaan om uw gegevens te beschermen?

Met betrekking tot de Yokoy-onkosten- en Yokoy-facturenmodules is er een mogelijkheid om de enige subverwerker die gegevens in de Verenigde Staten opslaat, uit te schakelen.

Yokoy Pay’s partner Marqeta heeft gedurfde veiligheidsmaatregelen getroffen en wordt door Visa en Mastercard gebruikt om dezelfde service te verlenen die zij aan Yokoy leveren. Ook de overdrachten tussen ons hoofdkantoor in Zwitserland en de EU of het VK vallen onder een adequaatheidsbesluit.

Onze subverwerkers staan op onze website transparant vermeld met hun genomen technische en organisatorische maatregelen. Ze zijn hier te vinden.

Yokoy voerde ook een overdrachtseffectbeoordeling uit die concludeerde dat op basis van de gegevens in kwestie (meestal onkostengegevens die worden geleid en beschermd door het onkostenbeleid van onze klanten) en de uitgebreide beveiligingsmaatregelen die wij en onze partners hebben verkregen door de Amerikaanse Surveillance autoriteiten om redenen van nationale veiligheid is onwaarschijnlijk.

Als functionaris voor gegevensbescherming van Yokoy kan ik bevestigen dat we tot op heden nooit een verzoek hebben ontvangen van gegevensbeschermings- of beveiligingsautoriteiten in de VS of andere landen. Als dit zou gebeuren, hebben we een procedure die onder meer inhoudt dat we u informeren over het verzoek (indien toegestaan) en ervoor zorgen, ook met externe advocaten die ervaring hebben op dit gebied, dat het verzoek legitiem en evenredig is.

Los van dit besluit is de doorgifte van gegevens in het verleden altijd rechtmatig geweest en zullen wij de ontwikkelingen blijven volgen. Zoals u hier en in de one-pager hier kunt zien, nemen we de beveiliging van uw gegevens zeer serieus en worden we regelmatig getest door onafhankelijke derde partijen door middel van penetratietesten of onze ISO 27001-beveiligingsaudits uitgevoerd door TÜV Rheinland.

Vereenvoudig je uitgavenbeheer

Gerelateerde artikelen

Als je dit artikel leuk vond, vind je de onderstaande bronnen misschien nuttig.