flib 50 jaar
+31(0) 205 210 130 (24/7)
Ned| Eng
Terug naar overzicht
Gepubliceerd op: 7 oktober 2022

Op weg naar een nieuw Adequaatheidsbesluit van de Europese Commissie?

16 juli 2020 was het Privacy Shield in het Schrems 2 arrest van het EU Hof van Justitie ongeldig verklaard. Echter onderhandelen de EU en Verenigde Staten (VS) inmiddels weer over een nieuw contract. Het nieuwe contract zou de uitwisseling van persoonsgegevens tussen EU landen en de VS weer mogelijk moeten maken.

De Amerikaanse president Joe Biden heeft op 7 oktober 2022 een ‘Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities’ (hierna: Decreet) uitgevaardigd dat uitvoering geeft aan het principeakkoord dat de EU en de VS op 25 maart 2022 bereikten op gebied van doorgifte van persoonsgegevens naar derden landen, in casu de VS.

Het Decreet;

  • Voegt verdere waarborgen toe voor de VS activiteiten op het gebied van inlichtingen uit berichtenverkeer, met inbegrip van de eis dat dergelijke activiteiten alleen worden uitgevoerd om gedefinieerde nationale veiligheidsdoelstellingen na te streven; rekening te houden met de privacy en de civiele vrijheden van alle personen, ongeacht nationaliteit of land van verblijf; en alleen worden uitgevoerd wanneer dat nodig is om een gevalideerde inlichtingenprioriteit te bevorderen en alleen in de mate en op een wijze die in verhouding staat tot die prioriteit;
  • Mandateert de verwerkingsvereisten voor de verzameling van persoonlijke informatie via activiteiten op het gebied van inlichtingen uit berichtenverkeer. Ook breidt de verantwoordelijkheden van juridische, toezichts- en nalevingsfunctionarissen uit. Dit is erop gericht om passende maatregelen te treffen die gevallen van niet-naleving verhelpen;
  • Vereist dat elementen van de Amerikaanse inlichtingendiensten hun beleid en procedures bijwerken. Dit is erop gericht om de nieuwe waarborgen voor privacy en burgerlijke vrijheden in het decreet te weerspiegelen;
  • Creëert een meerlagig mechanisme voor personen uit in aanmerking komende staten en regionale organisaties voor economische integratie, zoals aangewezen op grond van het Decreet, om onafhankelijke en bindende beoordeling en verhaal te verkrijgen van claims dat hun persoonlijke informatie is verzameld via de VS, inlichtingen uit berichtenverkeer werden verzameld of behandeld door de Verenigde Staten in strijd met het Decreet.
  • Onder de eerste laag zal de ‘Civil Liberties Protection Officer’ in het ‘Office of the Director of National Intelligence’ (CLPO) een eerste onderzoek uitvoeren naar ontvangen kwalificerende klachten om te bepalen of de verbeterde waarborgen van het Decreet of andere toepasselijke Amerikaanse waarborgen de wet is overtreden en, zo ja, om de juiste sanering te bepalen. Het Decreet bouwt de bestaande wettelijke CLPO-functies op door vast te stellen dat het besluit van de CLPO bindend is voor de inlichtingengemeenschap, onder voorbehoud van de tweede toetsingslaag en bescherming biedt de onafhankelijkheid van de onderzoeken en vaststellingen van het CLPO te waarborgen.
  • Als tweede beoordelingslaag machtigt en draagt het Decreet de ‘Attorney General’ op om een Data Protection Review Court (“DPRC”) op te richten om een onafhankelijke en bindende beoordeling van de beslissingen van de CLPO te bieden, op verzoek van het individu of een onderdeel van de inlichtingengemeenschap. Rechters op de DPRC, waar de benoeming van buiten de VS om plaatsvindt, dienen relevante ervaring op het gebied van gegevensprivacy en nationale veiligheid te hebben, beoordelen zaken onafhankelijk en genieten bescherming tegen verwijdering. Beslissingen van de DPRC met betrekking tot de vraag of er sprake was van een schending van de toepasselijke Amerikaanse de wet en, zo ja, welke sanering moet worden uitgevoerd, zijn bindend. Om de beoordeling van het DPRC verder te verbeteren, heeft het Decreet bepaalt dat het DPRC in elk geval een speciale advocaat selecteert. Deze zal pleiten voor het belang van de klager in de zaak. Ook zal deze ervoor zorgen dat het DPRC goed op de hoogte is van de kwesties en de wet met betrekking tot de zaak. De Attorney General heeft op 7 oktober 2022 begeleidende voorschriften uitgevaardigd over de oprichting van het DPRC;
  • Doet een beroep op de ‘Privacy and Civil Liberties Oversight Board’ het beleid en de procedures van de inlichtingengemeenschap te herzien om ervoor te zorgen dat deze in overeenstemming zijn met het Decreet en een jaarlijkse evaluatie uit te voeren van de beroepsprocedure, onder meer om na te gaan of de inlichtingengemeenschap volledig heeft voldaan aan de vaststellingen van het CLPO en het DPRC.

Met de vaststelling van het uitvoeringsbesluit en de bijbehorende verordeningen kan de Europese Commissie nu overgaan tot de volgende stappen. Te denken valt aan onder andere het voorstellen van een ontwerp van adequaatheidsbesluit en het starten van de goedkeuringsprocedure.

De goedkeuringsprocedure voor een adequaatheidsbesluit bestaat uit verschillende stappen. Een voorbeeld is het verkrijgen van advies van het Europees Comité voor gegevensbescherming (EDPB). Of bijvoorbeeld het groene licht van een comité bestaande uit vertegenwoordigers van de EU Lidstaten. Daarnaast heeft het Europees Parlement het recht om toezicht te houden op adequaatheidsbesluiten.

Pas daarna kan de Europese Commissie het definitieve adequaatheidsbesluit met betrekking tot de VS aannemen. Vanaf dat moment kunnen gegevens vrij en veilig stromen tussen bedrijven uit de EU en de VS. Deze zijn wel door het ministerie van Handel gecertificeerd in het kader van het nieuwe programma.

Amerikaanse bedrijven kunnen zich bij het programma aansluiten door zich ertoe te verbinden te voldoen aan een gedetailleerde reeks privacyverplichtingen.

In de tussenliggende tijd is het belangrijk om te onthouden dat een adequaatheidsbesluit niet het enige instrument is voor internationale overdrachten.

Modelclausules zijn het meest gebruikte mechanisme om gegevens uit de EU over te dragen. Deze modelclausules kunnen bedrijven in hun commerciële contracten opnemen. In 2021 heeft de Europese Commissie gemoderniseerde “Standard Contractual Clauses” aangenomen om het gebruik ervan te vergemakkelijken, onder meer in het licht van de vereisten die het Hof van Justitie in het arrest Schrems II stelde. Let daarbij ook op de richtlijnen van het EDPB.

Of het nieuwe Adequaatheidsbesluit de juridische toets zal doorstaan, is de vraag, met name als het gaat om de uitoefening van de rechten van betrokkenen aangaande inzage, wissing, verbetering, en recht op schadevergoeding. Nog niet duidelijk is hoe dat vorm gaat krijgen in het beleid van de Amerikaanse inlichtingendiensten.

Advies

Heeft u vragen? Neem dan gerust contact op via telefoon, mail of vul het contactformulier in op de contactpagina.

Jop Fellinger
+31(0) 651 327 211
contactformulier
Bekijk volgende artikel

Artikelen door Jop Fellinger

6 april 2024
Even een kopietje paspoort
Ontdek meer
Jop Fellinger
Jop Fellinger
19 maart 2024
Cookiebeleid niet in lijn met AVG
Ontdek meer
Jop Fellinger
Jop Fellinger
5 maart 2024
Wat is de Digital Services Act?
Ontdek meer
Jop Fellinger
Jop Fellinger
23 februari 2024
De datastrategie van de EU
Ontdek meer
Jop Fellinger
Jop Fellinger
4 januari 2024
Verslaglegging over privacy in het jaarverslag
Ontdek meer
Jop Fellinger
Jop Fellinger
27 december 2023
Uitzondering aanbestedingsplicht bij technische mededinging
Ontdek meer
Jop Fellinger
Jop Fellinger
24 maart 2023
EU-U.S. Data Privacy Framework ('DPF'), gedoemd te mislukken?
Ontdek meer
Jop Fellinger
Jop Fellinger
21 februari 2023
Bestuurders aangesteld door de Ondernemingskamer (OK)
Ontdek meer
Jop Fellinger
Jop Fellinger
17 januari 2023
Recht op informatie verstrekking persoonsgegevens bij direct marketing
Ontdek meer
Jop Fellinger
Jop Fellinger
Stuur ons een bericht

Voor verdere vragen kunt u het formulier hieronder gebruiken. Wij nemen dan zo spoedig mogelijk contact met u op.

    © 2024 Fruytier Lawyers in Business