Naar aanleiding van het besluit van het Hof van Justitie van de Europese Unie (HJEU) in de 'Schrems II'-zaak vroegen sommigen zich af wat dit nou precies betekent voor de grensoverschrijdende overdracht van data tussen de EU en de VS. Nadere analyse laat zien dat alles intact is gebleven, maar wel met enig voorbehoud.
Nu er enkele weken zijn verstreken sinds het besluit van het Hof van Justitie van de Europese Unie (HJEU) in de 'Schrems II'-zaak, waarin het EU-VS Privacy Shield is geschrapt, is het de moeite waard even stil te staan bij wat dit besluit betekent voor de toekomst. In de onmiddellijke nasleep van het besluit vroegen sommigen zich af wat dit zou betekenen voor grensoverschrijdende data-overdrachten en of deze wel geldig bleven. Nadere analyse laat zien dat dit inderdaad het geval is, maar wel met enig voorbehoud. Tegelijkertijd is het, gezien de omvang en het belang van de handelsbetrekkingen tussen de EU en de VS (meer dan 700 miljard dollar in totaal), belangrijk dat we samen tot blijvende oplossingen komen om passende data-overdracht in het belang van de samenleving en de economie mogelijk te maken.
Hier zijn drie zaken die nu nog steeds van toepassing zijn:
Overdracht naar de V.S. blijft toegestaan. Het Privacy Shield werd opgeheven vanwege zorgen over de bescherming van persoonsgegevens volgens de Amerikaanse wetgeving en over de manier waarop inwoners van de EU klachten kunnen indienen. Maar persoonsgegevens kunnen nog steeds naar de Verenigde Staten worden overgedragen. Het besluit omtrent het Privacy Shield had betrekking op de adequaatheid: elke overdracht van persoonsgegevens aan de V.S. was geldig, zolang de overdracht maar plaatsvond aan een bedrijf dat zich voor het Privacy Shield had gecertificeerd. Dit omdat de Standard Contractual Clauses (SCC's) overdrachten tussen bepaalde ondernemingen mogelijk maken, terwijl Binding Corporate Rules (BCR's) overdrachten naar een ondernemingsgroep mogelijk maken.
De uitvoering wordt dus per geval bekeken. Omdat SCC's en BCR's betrekking hebben op de overdracht van gespecificeerde persoonsgegevens tussen bepaalde bedrijven of binnen een concern, moet het gebruik ervan per geval worden geanalyseerd. De inspanningen van de Amerikaanse overheid om data in te zien zijn over het algemeen gericht op consumentendiensten. Andere soorten data, zoals personeelsgegevens, worden veel minder vaak door de overheid opgevraagd, omdat dit niet relevant is. Jarenlang hebben vele Amerikaanse bedrijven data ontvangen uit de EU, maar nog nooit een overheidsverzoek voor data ontvangen. Daarnaast kan elk bedrijf inzicht geven in hoe ze data-in-transit beschermen, bijvoorbeeld door het gebruik van krachtige end-to-end-encryptie, en op welke manier ze omgaan met een dataverzoek van de overheid.
Regelgevers erkennen dat elke transfer hetzelfde is. Uit de recente richtlijnen van het European Data Protection Board (EDPB) blijkt dat verschillende soorten datatransfers verschillende risico's met zich meebrengen. Zoals de EDPB schreef in de FAQs over Schrems II moeten ondernemingen rekening houden met de omstandigheden van de transfers en kijken naar eventuele aanvullende maatregelen die zij kunnen nemen. Organisaties moeten ook analyseren of er een adequaat beschermingsniveau is. Het soort data dat wordt overgedragen, de technische beschermingsmaatregelen die worden genomen, de geschiedenis van de ontvanger met betrekking tot de vraag naar data door de overheid en de manier waarop de ontvanger een dergelijke vraag behandelt, zijn allemaal relevant voor die analyse.
Het is belangrijk dat beleidsmakers aan beide zijden van de Atlantische Oceaan te goeder trouw samenwerken om tot een kader te komen dat voor iedereen werkt.
De hamvraag is wat we nu moeten doen. De EU en de VS hebben afgesproken om samen te werken aan een opvolger van het Privacy Shield. Workday ondersteunt dit natuurlijk: het is belangrijk dat beleidsmakers aan beide zijden van de Atlantische Oceaan te goeder trouw samenwerken om tot een kader te komen dat voor iedereen werkt. Pogingen om druk uit te oefenen op de ene of de andere kant, of om gebruik te maken van handhavingsmechanismen op het gebied van handel, zullen alleen maar leiden tot verharding van de standpunten en tot vertragingen.
Hoe een vervolgovereenkomst eruitziet is, gezien de zorgen van het Hof van Justitie, nu nog moeilijk te voorspellen. Uiteindelijk zal elke nieuwe overeenkomst het resultaat zijn van succesvolle onderhandelingen tussen de EU en de VS. Als onderdeel daarvan zouden er stappen genomen kunnen worden die de kloof tussen het besluit van het Hof van Justitie en de dagelijkse praktijk in de VS verkleinen. Zo zou de ombudspersoon die door Privacy Shield is ingesteld om klachten over onnodige toegang tot data te horen, meer onafhankelijkheid kunnen krijgen. De bevindingen van de ombudspersoon met betrekking tot de bescherming van de rechten van het individu kunnen eveneens bindend worden gemaakt. De bestaande administratieve bescherming met betrekking tot het gebruik van data zou kunnen worden gecodificeerd. De vereisten met betrekking tot het gebruik van encryptie voor data-in-transit kunnen worden aangescherpt. Een andere behandeling van sommige categorieën van persoonsgegevens - bijvoorbeeld van data die niet zo interessant is voor de overheid - zou nuttig kunnen zijn. Uiteindelijk zou een combinatie van deze en andere maatregelen moeten leiden tot een blijvend en houdbaar mechanisme voor de overdracht van data van de EU naar de VS.
Volgens McKinsey waren de grensoverschrijdende datastromen in 2014 goed voor 2,8 biljoen dollar van het mondiale BBP, en het belang ervan is sindsdien alleen maar toegenomen. Bovendien, zoals de Europese Commissie opmerkt, zijn de totale Amerikaanse investeringen in de EU drie keer zo hoog als de Amerikaanse investeringen in Azië. De EU-investeringen in de VS zijn acht keer zo hoog als de EU-investeringen in India en China samen. In een wereld die steeds verder digitaliseert zijn grensoverschrijdende datastromen essentieel voor onze nauwe economische relatie. Daarom is een stabiele langetermijnoplossing van vitaal belang.
Meer om te lezen
In dit rapport lezen leaders op het gebied van applicaties, finance en IT welke technologieën hun bedrijf kunnen transformeren en wanneer en hoe ze deze het beste in hun ERP-strategie opnemen.
De AI-verordening van het Europees Parlement maakt de weg vrij voor 's werelds eerste allesomvattende regelgevingskader voor AI. Chandler C. Morse, Vice President of Public Policy bij Workday, vertelt er meer over.
Uit ons rapport blijkt dat technologyleaders over de hele wereld met soortgelijke uitdagingen te maken krijgen. Er wordt ook ingegaan op hoe één type CIO, de AI-pionier, hun organisatie naar de best mogelijke toekomst leidt door kunstmatige intelligentie in te zetten.