Blog: Nieuwe regels voor uitwisseling van persoonsgegevens tussen Nederland en de VS

In een wereld die steeds meer gedigitaliseerd wordt, is gegevensuitwisseling tussen landen een essentieel onderdeel geworden van moderne samenlevingen. Voor gemeenten die gegevens uitwisselen met de Verenigde Staten, is het van cruciaal belang om te controleren of ze voldoen aan de nieuwe regels en bepalingen van het EU-U.S. Data Privacy Framework. Deze nieuwe regelgeving is bedoeld om de privacy van Europese burgers te waarborgen bij het delen van persoonlijke gegevens met Amerikaanse entiteiten. Laten we eens dieper ingaan op het belang van naleving en de implicaties voor gemeenten.

Achtergrond: Het Schrems II-oordeel en Privacy Shield

In 2020 oordeelde het Europese Hof van Justitie in de zaak Schrems II dat het EU-VS Privacy Shield, een overeenkomst die de overdracht van gegevens tussen de EU en de VS regelde, ongeldig was. Dit besluit was gebaseerd op de zorgwekkende inbreuk op de privacy van Europese burgers vanwege de brede bevoegdheden van Amerikaanse veiligheidsdiensten, zoals de CIA, NSA en FBI. Het Hof oordeelde dat gegevens van Europese burgers in de VS onvoldoende beschermd waren en dat er geen effectieve mogelijkheid was voor Europese burgers om beroep te doen op Amerikaanse rechters over klachten met betrekking tot gegevensbescherming.

Het EU-U.S. Data Privacy Framework: Een stap voorwaarts

Na het Schrems II-oordeel ging de Europese Commissie aan de slag om een nieuw regelgevend kader op te stellen dat de privacy van Europese burgers beter zou waarborgen bij gegevensuitwisseling met de VS. Op 10 juli 2023 werd het EU-U.S. Data Privacy Framework aangenomen, waarin wordt gesteld dat de Verenigde Staten voldoende waarborgen bieden voor het uitwisselen van gegevens met de EU.

Het nieuwe framework introduceert strikte waarborgen voor bedrijven die gegevens verwerken van Europese burgers. Hierbij zijn beperkingen opgelegd aan de toegang van Amerikaanse overheidsinstanties tot gegevens. Deze instanties krijgen alleen toegang tot gegevens voor zover dat noodzakelijk en proportioneel is om de Amerikaanse nationale veiligheid te beschermen. Daarnaast is de oprichting van het Data Protection Review Court een belangrijke stap om onafhankelijk klachten te onderzoeken en op te lossen.

Komt er een Schrems III?

Hoewel het EU-U.S. Data Privacy Framework een stap vooruit is in het beschermen van de privacy van Europese burgers, blijft het onderwerp van zorg voor sommige deskundigen. Max Schrems, de klager in de Schrems II-zaak, heeft aangegeven kritisch te kijken naar het nieuwe framework. Hij benadrukt dat Amerikaanse veiligheidsdiensten nog steeds aanzienlijke bevoegdheden hebben die de privacy kunnen beperken. Het is aan het Hof om te beoordelen of het nieuwe framework deze bevoegdheden voldoende in toom houdt en of het in overeenstemming is met de Europese privacywetgeving.

Het belang van naleving voor gemeenten

Om ervoor te zorgen dat een gemeente het EU-U.S. Data Privacy Framework naleeft bij gegevensuitwisseling met de Verenigde Staten, zijn er verschillende belangrijke stappen en maatregelen die kunnen worden genomen. Hierbij enkele richtlijnen die u als privacy officer kunt gebruiken om naleving te waarborgen:

1. Gegevensinventarisatie: Voer een uitgebreide inventarisatie uit van alle gegevens die worden verzameld en uitgewisseld met Amerikaanse entiteiten. Denk hierbij ook aan de opslag van persoonsgegevens op Amerikaanse servers. Identificeer welke persoonsgegevens worden gedeeld en waarom, zodat er duidelijk inzicht is in de aard en omvang van de gegevensuitwisseling.

2. Grondslag: Zorg ervoor dat er een geldige juridische basis is voor de gegevensuitwisseling met de VS. Dit kan bijvoorbeeld gebaseerd zijn op toestemming van de betrokkenen, het uitvoeren van een contract, wettelijke verplichtingen, of het beschermen van vitale belangen.

3. Gegevensverwerkingsovereenkomsten: Sluit schriftelijke overeenkomsten met Amerikaanse organisaties (zoals leveranciers of partners) die toegang hebben tot persoonsgegevens van Europese burgers. Deze overeenkomsten moeten de wettelijke verplichtingen en verantwoordelijkheden van beide partijen met betrekking tot gegevensbescherming definiëren.

4. Beperking van Gegevensoverdracht: Beperk de overdracht van persoonsgegevens naar de VS tot wat strikt noodzakelijk is voor de uitvoering van het doel van de gegevensuitwisseling. Overweeg alternatieve methoden, zoals het gebruik van versleuteling of anonimisering, om het risico op datalekken te minimaliseren.

5. Dataminimalisatie: Verzamel en deel alleen die persoonsgegevens die relevant zijn voor het specifieke doel van de gegevensuitwisseling. Beperk het delen van gevoelige informatie indien mogelijk.

6. Risicobeoordeling: Voer regelmatig een risicobeoordeling uit om potentiële risico’s voor de privacy van Europese burgers te identificeren en te beoordelen. Neem passende maatregelen om deze risico’s te minimaliseren of te elimineren.

7. Transparantie: Informeer Europese burgers duidelijk over hoe hun gegevens worden verwerkt, welke gegevens worden gedeeld met Amerikaanse entiteiten en wat hun rechten zijn met betrekking tot gegevensbescherming.

8. Monitoring en Evaluatie: Houd de berichtgeving over de gegevensuitwisseling met de VS regelmatig in de gaten en evalueer de naleving van het framework. Pas waar nodig maatregelen aan om aan de vereisten te voldoen.

Door deze stappen te volgen zorg je ervoor dat alle gegevensuitwisseling met de VS in overeenstemming is met het EU-U.S. Data Privacy Framework, en kan een gemeente ervoor zorgen dat ze de privacy van Europese burgers op een verantwoorde en wettelijke manier beschermt. Het is belangrijk om proactief te zijn in het waarborgen van naleving, omdat gegevensbescherming een essentieel aspect is van vertrouwen tussen burgers en de overheid, vooral in een steeds digitalere samenleving.

Sandra Mochel, privacyadviseur IBD