De Amerikaanse president Biden heeft op 7 oktober 2022 de Executive Order voor veilige gegevensuitwisseling ondertekend. Deze opvolger van het Privacy Shield moet de zorgen van Europa op het gebied van privacy wegnemen en veilige uitwisseling van persoonsgegeven waarborgen. Grote vraag is: doet het dat ook of stapt Schrems weer naar het Europese Hof van Justitie?

Van Privacy Shield naar Executive Order

Tot de zomer van 2020 vertrouwden we allemaal op het Privacy Shield als mechanisme om gegevens uit te wisselen tussen Europa en de Verenigde Staten.

Volgens de AVG mogen persoonsgegevens niet zomaar worden doorgegeven aan personen of organisaties buiten de Europese Economische Ruimte (EER). Dit is alleen toegestaan als er in het desbetreffende land sprake is van een passend beschermingsniveau. De Verenigde Staten bieden geen passend beschermingsniveau. Het Privacy Shield zorgde ervoor, in de vorm van juridisch bindende afspraken tussen de EER en de VS, dat doorgifte naar de VS toch toegestaan was

In de rechtszaak Schrems II werd het Privacy Shield echter nietig verklaard.

Belangrijkste reden?

De Amerikaanse inlichtingen- en veiligheidsdiensten hebben het recht om gegevens van EU-burgers in te zien en te gebruiken. Ze hebben toegang tot alle gegevens en mogen deze naar eigen inzicht verwerken. Dit betreft dus niet alleen de strikt noodzakelijke gegevens, zoals in de EU.

Maar dat is niet het enige probleem.

Het Amerikaanse ombudsman-mechanisme biedt onvoldoende bescherming aan EU-burgers met een klacht over de verwerking van hun persoonsgegevens in de VS. Betrokkenen hebben ook geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten.

De Executive Order moet deze en andere zorgen wegnemen.

Wat houdt de Executive Order in?

De Executive Order moet het rechtsgeldige alternatief worden voor het Privacy Shield. Het zal dus de privacy van persoonsgegevens van Europese burgers moeten waarborgen. Op het eerste oog lijkt dit ook te gebeuren. De Executive Order:

  • voegt aanvullende waarborgen toe voor activiteiten van Amerikaanse inlichtingendiensten, waaronder de eis dat dergelijke activiteiten alleen worden uitgevoerd om gedefinieerde nationale veiligheidsdoelstellingen na te streven. Hierbij wordt rekening gehouden met de privacy en de activiteiten moeten noodzakelijk en proportioneel zijn.

  • eist van de Amerikaanse inlichtingendiensten om hun beleid en procedures bij te werken op basis van de aanvullende waarborgen.

  • biedt een alternatief voor het ombusman-mechanisme, waarbij klachten en bezwaren van Europese inwoners en instellingen in 2 stappen onpartijdig en onafhankelijk worden behandeld. De klacht wordt allereerst bestudeerd en behandeld door een ambtenaar van de nationale inlichtingendienst en vervolgens wordt diens oordeel onder de loep genomen door een nog op te richten rechtbank voor gegevensbescherming (DPRC).

Wat vindt Schrems van de Executive Order?

Max Schrems heeft ervoor gezorgd dat het Privacy Shield werd nietig verklaard. Uiteraard heeft hij ook al gereageerd op deze Executive Order via de door hem opgerichte privacy organisatie NOYB.

Zijn eerste reactie is niet positief en volgens hem houdt dit alternatief voor het Privacy Shield geen stand.

Waarom niet?

Allereerst meent hij dat de formulering over de rechten van de Amerikaanse inlichtingendiensten weliswaar is aangepast, maar dat dit niet betekent dat Europa en de VS dezelfde interpretatie hierover hebben. Er zijn namelijk geen aanwijzingen dat de massasurveillance door de VS in de praktijk zal veranderen.

Zo zal zogenaamde ‘bulk surveillance’ onder de nieuwe Executive Order blijven bestaan, terwijl dit door het Europese Hof van Justitie als niet evenredig is bestempeld. Dus hoewel de woorden zijn veranderd, lijken Europa en de VS geen overeenstemming te hebben bereikt over de juridische betekenis ervan.

Problematisch, aldus Schrems. Dat geldt ook voor de nieuw op te tuigen rechtbank voor gegevensbescherming.

Volgens Schrems zal dit namelijk geen rechtbank zijn, zoals vermeld staat in de Amerikaanse grondwet. Het wordt een orgaan binnen de uitvoerende macht en daarmee volgens Schrems dus eigenlijk een veredelde vorm van het door het Europese Hof van Justitie afgekeurde ombusman-mechanisme.

Tot slot staat er op de site van NOYB te lezen dat de organisatie de Executive Order nader gaat bestuderen en nog met een uitgebreide analyse komt. Max Schrems meldt wel alvast: “Op het eerste gezicht lijkt het erop dat de kernproblemen niet zijn opgelost en dat het vroeg of laat terug naar het Europese Hof van Justitie zal gaan.”

Zeker weten dat u niks mist?

Wij houden u op de hoogte van de belangrijkste ontwikkelingen rondom ICT en recht. Weten hoe het afloopt met deze Executive Order? Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.