Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Trans-Atlantische Data Privacy Framework: meaning?

29 december 2022 - 21:495 minuten leestijdOpinieData & AIEuropese CommissieEuropese UnieFox-IT
Willemijn Rodenburg-Luitse
Willemijn Rodenburg-Luitse

In oktober 2022 heeft president Biden van de Verenigde Staten een 'Executive Order' (EO) ondertekend voor de invoering van een nieuw dataprivacy framework tussen de Europese Unie en de Verenigde Staten: het trans-Atlantische Data Privacy Framework (EU-U.S. DPF). Wat houdt dit nieuwe framework in en wat kan het betekenen voor organisaties?

Het EU-VS DPF werd in maart 2022 aangekondigd door president Biden en de voorzitter van de Europese Commissie Von der Leyen. Het doel ervan is het juridisch framework voor de doorgifte van persoonsdata van de EU naar de VS, de zogeheten trans-Atlantische datastromen, te herstellen. 

Het framework werd gecreëerd nadat het Hof van Justitie van de Europese Unie zijn bezorgdheid had geuit over het bestaande juridische framework inzake trans-Atlantische datastromen – het EU-VS-Privacy Shield – met als gevolg meer dan een jaar onderhandelen tussen de EU en de VS. Met de ondertekening van de Executive Order kunnen de toezeggingen van de VS binnen het nieuwe framework nu werkelijkheid worden.

Aspecten

De vijf belangrijkste aspecten van het framework:

–        Data zullen vrij en veilig tussen de EU en deelnemende bedrijven in de VS kunnen stromen;
–        Nieuwe regels en bindende waarborgen om de toegang tot data door de Amerikaanse inlichtingendiensten te beperken tot wat alleen noodzakelijk en proportioneel is om de nationale veiligheid te beschermen;
–        Een nieuw systeem van beroep om klachten van Europeanen over de toegang tot data door de Amerikaanse inlichtingendiensten te onderzoeken en op te lossen, inclusief een rechterlijke instantie voor dataprotectie;
–        Strenge verplichtingen voor bedrijven die vanuit de EU doorgegeven data verwerken. Hiertoe behoort de eis dat zij zelf via het Amerikaanse ministerie van Handel moeten verklaren dat zij zich aan het framework houden;
–        Specifieke toezichts- en evaluatiemechanismen.

Organisaties moeten zich vooral bewust zijn van het feit dat zij geacht worden de beginselen van het Privacy Framework na te leven. Dat betekent dat zij moeten weten welke persoonsdata zij uit de EU verwerken en wie zij bij alle aspecten van die verwerking betrekken.

Hoe nu verder?

Op basis van de in de Executive Order aangegeven stappen kan de Europese Commissie opnieuw vaststellen of de VS hetzelfde niveau van dataprotectie bieden als de EU. Als dat zo is, zal dat dataoverdracht naar de VS krachtens de EU-wetgeving ondersteunen op een manier die toegankelijk en betaalbaar is.

Het zal ook duidelijkheid en rechtszekerheid bieden aan organisaties die betrokken zijn bij de doorgifte van data, zoals bedrijven die gebruik maken van standaard contractbepalingen, en bindende regels opleggen voor de doorgifte van persoonsdata uit de EU naar de Verenigde Staten.

Aanpak twee belangrijkste problemen

Het is belangrijk om voor ogen te houden dat dit allemaal slechts intenties zijn en dat de details nog moeten worden uitgewerkt. Niettemin lijkt de VS nu de twee belangrijkste problemen aan te pakken die in de zaak Schrems II het Privacy Shield onderuit haalden. Ten eerste de toegang die Amerikaanse veiligheidsinstanties hebben tot persoonsdata die vanuit de EU zijn doorgegeven. Ten tweede het ontbreken van enige vorm van schadeloosstelling voor personen van wie data onterecht zijn ingezien. In de gezamenlijke verklaring staat dat de VS ‘nieuwe waarborgen’ invoert om ervoor te zorgen dat inlichtingenactiviteiten ‘noodzakelijk en proportioneel’ zijn. Ongetwijfeld zullen de definities en de praktische toepassing door privacyvoorvechters nauwkeurig worden bekeken zodra de gedetailleerde tekst bekend is.

Voor de doorgifte van persoonsdata van de EU naar de VS moet de exporteur momenteel een aanpak volgen die voorziet in passende waarborgen volgens een norm die in essentie gelijkwaardig is met de EU-norm. Dat zou bijvoorbeeld kunnen door het gebruik van de standaardcontractbepalingen van de EU, plus aanvullende maatregelen, waarvoor het Europees Comité voor dataprotectie een reeks aanbevelingen heeft goedgekeurd. Deze aanpak heeft echter in een aantal recente onderzoeken van EU-toezichthouders geen stand gehouden.

Inmiddels is de Europese Commissie begonnen met de formele procedure om te bepalen of het trans-Atlantische Data Protection Framework adequaat is. Vervolgens zal het Europees Comité voor dataprotectie zich erover buigen en advies uitbrengen. Daarna gaat het naar een comité van vertegenwoordigers van de EU-lidstaten en pas als zij ermee instemmen zal de Europese Commissie definitief besluiten of het framework adeqaat is – of niet.

Fundamentele kloof tussen EU en VS

De kern van het probleem is de fundamentele kloof tussen de EU en de VS op het gebied van privacy. Er is geen federale privacywetgeving in de VS, maar er zijn wel allerlei wetten op het niveau van de afzonderlijke staten die nog steeds op inbreuken zijn gericht of geen specifieke basis voor handhaving bieden. Dat zorgt voor problemen die het zeer waarschijnlijk maken dat dit nieuwe framework met succes zal worden aangevochten.

Allereerst zal ongetwijfeld ook het Hof van Justitie van de Europese Unie (HvJEU) worden gevraagd een uitspraak te doen over het nieuwe trans-Atlantische Data Privacy Framework. Verder zal, gezien de opstelling van de VS als het gaat om de legitimiteit van internationale strafhoven, het voorgestelde Hof voor Dataprotectie waarschijnlijk door VS-instanties worden aangevochten. Dat hof- als het er van komt – vormt de basis voor handhaving, maar zonder een framework dat vergelijkbaar is met de AVG (GDPR) is proactieve naleving onmogelijk.

Een VS-norm voor dataprivacy die in essentie gelijkwaardig is aan de EU-norm zal altijd een uitdaging blijven om te bereiken én te handhaven, althans totdat de VS zelf doeltreffende dataprivacywetgeving aanneemt. Vooralsnog is er dus geen reden voor Nederlandse organisaties om hun beleid ten aanzien van dataprotectie te aan te passen.

Willemijn Rodenburg-Luitse, Relation Manager Government bij Fox-IT 

Meer over

Privacy

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    In detail: succesvolle AI-implementaties

    Het implementeren van kunstmatige intelligentie (AI) biedt enorme kansen, maar roept ook vragen op. Deze paper beschrijft hoe je als (middel)grote organisatie klein kunt starten met AI en gaandeweg kunnen opschalen.

    Computable.nl

    Maak kennis met digitale identiteiten

    De digitale economie groeit snel en de EU heeft strikte regelgeving ingevoerd om de veiligheid en privacy te waarborgen; in deze whitepaper ontdek je hoe digitale identiteiten deze transitie ondersteunen en wat dit voor jouw organisatie betekent.

    Meer lezen

    ActueelCloud & Infrastructuur

    AP: cloudbeleid kabinet niet privacyproof

    big tech
    ActueelCloud & Infrastructuur

    2022: kanteljaar voor Big Tech in Europa?

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs