Op 15 maart 2022 maakten de Europese Commissie en de Verenigde Staten (VS) bekend dat ze een akkoord hadden bereikt over een nieuw trans-Atlantisch framework voor gegevensprivacy. Het framework is zo opgezet dat het de trans-Atlantische datastromen zou regelen. Of beter gezegd, de datastromen tussen de Verenigde Staten (VS) en de Europese Unie (EU)
Waarom is het Trans-Atlantic Data Privacy Framework in het leven geroepen, en wat houdt het precies in? Lees verder om alles te leren over het nieuwe data privacy framework.
Waarom bestaat het Trans-Atlantic Data Privacy Framework?
Het nieuwe framework is een direct gevolg van een besluit dat in juli 2020 werd genomen door het gerechtshof van de Europese Unie. Het besluit betrof het Privacy Shield-framework, welke ervoor moest zorgen dat persoonsgegevens uitwisseling rechtmatig plaatsvond van de VS naar de Europese Unie (EU). Tegelijkertijd had het een reeks sterke veiligheidseisen met betrekking tot de gegevensbescherming moeten implementeren.
Onder de wetgeving konden EU-bedrijven legaal persoonsgegevens doorgeven aan Amerikaanse bedrijven die op de Privacy Shield-lijst stonden. Maar, het Privacy Shield framework was niet verplicht. Dat wil zeggen dat alleen bedrijven die vrijwillig waren gecertificeerd zich aan de beginselen van het Privacy Shield-framework moesten houden.
Zonder al te veel op de inhoud van een verouderd framework in te gaan, het gerechtshof besloot dat het framework misleidend was en zijn werk niet goed deed. Het gerechtshof verklaarde het Privacy Shield-besluit van de Europese Commissie ongeldig vanwege invasieve surveillance programma’s van de VS. Dit betekende dus dat de doorgifte van persoonsgegevens op basis van het Privacy Shield framework illegaal was.
In reactie hierop hebben de EU en de VS een nieuw framework ontwikkeld dat wel adequaat werk zou moeten leveren. Dit werd het Trans-Atlantic Data Privacy Framework. Het doel van de overeenkomst is de bescherming van individuele privacy en het beschermen van burgers tegen inlichtingendiensten.
Wat houdt het Trans-Atlantic Data Privacy Framework in?
De Europese Commissie heeft verschillende beginselen onderscheiden die centraal staan in het nieuwe framework. Dit zijn de volgende:
- Persoonsgegevens zullen vrij en veilig kunnen stromen tussen de EU en de deelnemende bedrijven in de VS.
- Een nieuwe reeks regels zal de toegang van de Amerikaanse inlichtingendiensten beperken. Dit garandeert dat toegang alleen plaatsvindt indien dit noodzakelijk en evenredig is om de nationale veiligheid te waarborgen, zonder dat de rechten en vrijheden van personen onevenredig worden aangetast.
- Een nieuw tweeledig systeem zal ervoor zorgen dat klachten van EU-burgers over de toegang tot gegevens door de Amerikaanse inlichtingendiensten worden onderzocht en behandeld. Er wordt een nieuw en onafhankelijk hof van beroep voor gegevensbescherming opgericht voor rechterlijke toetsing.
- Er zijn strikte verplichtingen voor Amerikaanse bedrijven die vanuit de EU overgedragen gegevens verwerken. Dit omvat met name de verplichting om aan het Amerikaanse ministerie van Handel door middel van zelfcertificering te bevestigen dat de overeenkomst wordt nageleefd.
Hoe is het Trans-Atlantic Data Privacy Framework tot stand gekomen?
Het Trans-Atlantic Data Privacy Framework is het resultaat van een jaar onderhandelen tussen de VS en de EU. Het framework richt zich specifiek op bedrijven, waarbij de EU stelt dat dit nieuwe framework “een inclusieve digitale economie zal bevorderen waaraan alle mensen kunnen deelnemen en waarin bedrijven van elke omvang uit al onze landen kunnen gedijen”. Het data privacy framework is dus een mechanisme voor bedrijven, zoals sociale mediaplatforms, die persoonsgegevens doorgeven tussen datacentra in de VS en de EU.
Beschermt het de individuele privacy?
De EU hoopt dat de GDPR het recht op gegevensprivacy van haar burgers beschermt. Maar, de VS kent niet zo’n nationale wet. Dus terwijl het recht op privacy deel uitmaakt van de Amerikaanse grondwet, is de online privacy van burgers nauwelijks te waarborgen.
Om deze redenen werd een nieuw framework voor gegevensuitwisseling noodzakelijk bevonden. Het is opmerkelijk dat de communicatie van het framework bijna uitsluitend gaat over de economische waarde die het heeft voor bedrijven en ondernemingen. Als de wet die de individuele privacy zou moeten beschermen wordt geschreven met het oog op de markt, kan deze dan nog wel het individu beschermen?
Helaas lijkt dit niet het geval te zijn. Wetenschappers zijn er vrij zeker van dat het via marktmechanismen bijna onmogelijk is om de individuele privacy te beschermen en buitensporig verlies van privacy te voorkomen.
GDPR wordt gekopieerd
Dat is inderdaad geen goede basis om vanuit te bouwen. Daarnaast lijkt het nieuwe framework grotendeels de principes van de Europese GDPR-wet te volgen. Er is al behoorlijk wat kritiek op deze wet, bijvoorbeeld dat de wet niet restrictief en duidelijk genoeg is.
Een ander punt van kritiek op de wetgeving is dat het al enigszins gedateerd is. Het juridische instrument van de GDPR is een stap in de richting voor meer individuele controle. Echter groeit het internet en uw online aanwezigheid nog steeds iedere dag. Daarom zijn er altijd nieuwe haken en ogen aan de wetgeving.
De haken en ogen hebben vooral te maken met het feit dat uiteindelijk de persoon aan de andere kant verantwoordelijk is voor de bescherming van uw persoonlijke gegevens. Vertrouwen is dus een grote factor, maar helaas wordt vertrouwen vaak geschonden. Zeker als er geld in het spel is.
Conclusie over het Trans-Atlantic Data Privacy Framework
Al met al lijkt het erop dat het Trans-Atlantisch Data Privacy framework ontwikkeld is op basis van reeds gedateerde principes. Uiteraard, ze zijn enigszins bijgewerkt, maar de combinatie van gedateerde beginselen en marktmechanisme biedt geen erg overtuigend argument voor de daadwerkelijke bescherming van individuele online privacy.
In dit geval is nog niet eens het feit meegenomen dat het eerdere Privacy Shield-framework niet toereikend was. Jammer genoeg ontbreekt er veel informatie over hoe de tekortkomingen van het vorige framework precies zijn aangepakt bij de ontwikkeling van dit nieuwe framework. In feite lijkt het er niet op dat deze problemen zijn opgelost.
Dus, hoe beschermt u uw privacy online?
Om er zeker van te zijn dat uw gegevens beschermd zijn heeft u extra maatregelen nodig. Als individu, maar vooral als werkgever of bedrijf. Daarom is het aan te bevelen om gebruik te maken van data blockers, uw webcam af te dekken, of een kijkje te nemen naar deze vijf manieren om uw online veiligheid te waarborgen.