Wat het nieuwe trans-Atlantische uitvoeringsbesluit betekent voor grensoverschrijdende overdracht van data

Juli 2023

Workday juicht de goedkeuring van het nieuwe EU-VS-kader voor gegevensbescherming toe, omdat dit bedrijven meer vertrouwen geeft bij de legale overdracht van Europese persoonsgegevens naar de Verenigde Staten.  Workday is een groot voorstander van overeenkomsten tussen overheden die grensoverschrijdende gegevensstromen vergemakkelijken. Bovendien waarderen we de jarenlange inspanningen van de Verenigde Staten en de Europese Commissie voor een veilige, trans-Atlantische gegevensstroom. Nu de verplichtingen van de Amerikaanse regering volgens het EU-VS-kader voor gegevensbescherming zijn nagekomen en het adequaatheidsbesluit van de Europese Commissie is afgerond, hebben beleidsmakers aan beide zijden van de Atlantische Oceaan ingestemd met nieuwe garanties om tegemoet te komen aan de zorgen van het Hof van Justitie van de Europese Unie (HvJ-EU) in het Schrems II-besluit van juli 2020.  

Om uit te leggen wat dit voor onze klanten betekent, ga ik in op een aantal veelgestelde vragen over het onlangs goedgekeurde EU-VS-kader voor gegevensbescherming.

Wat is er gebeurd sinds de uitvaardiging van het uitvoeringsbesluit?

Ter opfrissing: de belangrijkste kwesties in het Schrems II-besluit van het HvJ-EU hielden verband met de toegangsactiviteiten van de Amerikaanse overheid. In het afgelopen jaar heeft de Amerikaanse regering belangrijke wijzigingen aangebracht in de manier waarop de Amerikaanse inlichtingendiensten toegang hebben tot Europese persoonsgegevens. Ook heeft zij structuren opgezet die niet-Amerikaanse personen het recht op rectificatie bieden als zij van mening zijn dat hun gegevens op ongepaste wijze zijn gebruikt. Het Amerikaanse ministerie van Justitie en het Office of the Director of National Intelligence hebben deze toezeggingen geïmplementeerd, zoals uiteengezet in het uitvoeringsbesluit van president Biden over trans-Atlantische gegevensoverdracht. De Amerikaanse inlichtingendiensten implementeerden het nieuwe beleid en de procedures, de procureur-generaal wees de Europese Economische Ruimte formeel aan als een 'kwalificerende staat' die toegang heeft tot het rectificatieproces van het EU-VS-kader voor gegevensbescherming en er werd een nieuw Data Protection Review Court opgericht. Lees verder als u meer wilt weten over wat Workday van dit uitvoeringsbesluit vindt. 

Wat betekent het EU-VS-kader voor gegevensbescherming voor Workday-klanten?

Het adequaatheidsbesluit geeft onze klanten meer zekerheid dat Europese persoonsgegevens legaal kunnen worden overgedragen naar de Verenigde Staten. Sinds 2020 heeft Workday onze klanten succesvol ondersteund door het gebruik van andere mechanismen voor gegevensoverdracht, zoals Standaard contractuele clausules en Bindende bedrijfsvoorschriften voor verwerkers. Gedurende deze periode hebben we ook een uitgebreide Transfer Impact Assessment-datasheet opgezet om klanten het overdrachtsrisico te helpen beoordelen. We blijven gebruikmaken van deze mechanismen voor legale gegevensoverdracht. Daarnaast werken we ons Transfer Impact Assessment-datasheet bij om de recente wijzigingen in het Amerikaanse rechtssysteem te weerspiegelen. Zelfs voor bedrijven die geen gebruikmaken van het nieuwe EU-VS-kader als mechanisme voor gegevensoverdracht, zijn de nieuwe garanties van de Amerikaanse overheid van toepassing op alle overdrachten van persoonsgegevens onder de Algemene verordening gegevensbescherming naar bedrijven in de Verenigde Staten, inclusief bedrijven die gebruikmaken van Standaard contractuele clausules en Bindende bedrijfsvoorschriften.

Daarnaast hebben we onze certificering voor het Privacyschild-kader gehandhaafd, waardoor we snel op het EU-VS-kader voor gegevensbescherming kunnen overstappen. We zijn ook verplicht transparant te blijven bij verzoeken tot wetshandhaving voor gegevenstoegang en om regelmatig updates van ons transparantieverslag te publiceren.

Komt er een Schrems III?

Zoals bij het Safe Harbor-kader en het Privacyschild-kader zal het EU-VS-kader voor gegevensbescherming waarschijnlijk worden aangevochten in de Europese rechtbanken. Op basis van de ongekende wijzigingen die de Amerikaanse regering heeft doorgevoerd om de garanties voor overheidstoegang tot Europese persoonsgegevens te versterken en om niet-Amerikaanse personen het recht op rectificatie te bieden, is Workday van mening dat het EU-VS-kader voor gegevensbescherming slaagt in het gezamenlijke doel van beide regeringen om te zorgen voor een duurzame en betrouwbare rechtsbasis voor trans-Atlantische gegevensstromen.  

Oktober 2022

Hier bij Workday juichen we het langverwachte, op 7 oktober door president Joe Biden uitgevaardigde uitvoeringsbesluit (Executive Order) over trans-Atlantische gegevensoverdracht van harte toe. Dit besluit wil de overeenkomst tussen de Europese Unie en de Verenigde Staten ten uitvoer brengen om overheidstoegangskwesties aan te pakken die de kern vormden van de Schrems II-zaak, waarin het Privacyschild als mechanisme voor gegevensoverdracht ongeldig werd verklaard. De naadloze gegevensoverdracht tussen de Verenigde Staten en de Europese Unie speelt een cruciale rol in het stimuleren van de digitale economie en stelt multinationals in staat om hun internationale personeelsbestand effectief te beheren.

Het nieuwe besluit is een positieve stap voorwaarts in de uitbreiding van het vrije verkeer van persoonsgegevens van de Europese Unie, waaronder werknemersdata, naar de Verenigde Staten. Er moet echter heel veel informatie worden verwerkt, dus ik wil graag duidelijkheid verschaffen over wat het precies betekent en hoe het onze klanten in de toekomst beïnvloedt.

Wat houdt het uitvoeringsbesluit in?

Enkele maanden geleden kondigden president Biden en de voorzitter van de Europese Commissie, Ursula von der Leyen, een politieke overeenkomst aan die bekend staat als het EU-VS-kader voor gegevensbescherming. Deze overeenkomst is bedoeld om het vrije verkeer van persoonsgegevens uit de EU naar de Verenigde Staten te bevorderen. Het onlangs uitgebrachte uitvoeringsbesluit formaliseert de Amerikaanse toezeggingen aan die overeenkomst door EU-burgers een procedure te bieden om een formele klacht in te dienen als zij van mening zijn dat hun persoonsgegevens onrechtmatig zijn verzameld door de Amerikaanse overheid ten behoeve van de nationale veiligheid. Het besluit implementeert ook garanties om ervoor te zorgen dat de activiteiten van Amerikaanse inlichtingendiensten noodzakelijk en proportioneel zijn bij het nastreven van hun veiligheidsdoelstellingen.

Het uitvoeringsbesluit maakt de weg vrij voor de Europese Commissie om een adequaatheidsproces te starten voor bedrijven die deelnemen aan het EU-VS-kader voor gegevensbescherming tussen de EU en de VS. Naast het uitvaardigen van het uitvoeringsbesluit moeten er nog verschillende stappen worden genomen voordat er weer een formeel adequaatheidskader is tussen de Verenigde Staten en de Europese Unie. Deze stappen omvatten het uitvaardigen van een formeel adequaatheidsbesluit door de Europese Commissie, evenals een beoordeling van het besluit en het uitbrengen van een advies door het Europees Comité voor gegevensbescherming. Ten slotte moeten de Europese lidstaten het kader goedkeuren, waarna het formeel wordt aangenomen. De Europese Commissie heeft al haar steun uitgesproken voor het nieuwe EU-VS-kader en verklaart dat dit aanzienlijke verbeteringen zijn ten opzichte van het mechanisme dat bestond onder het Privacyschild.

Wat betekent het uitvoeringsbesluit voor klanten van Workday?

Workday blijft trouw aan onze kernwaarde van klantenservice en neemt privacy en beveiliging uiterst serieus. De passende garanties worden gewaarborgd om de gegevens van onze klanten te beschermen. Na de Schrems II-zaak hebben we onze klanten voorzien van een robuuste TIA-whitepaper (Transfer Impact Assessment) als hulpmiddel voor risicobeoordeling bij de overdracht van persoonsgegevens uit de EU naar de Verenigde Staten in het kader van een bedrijfssysteem voor human capital management (HCM) en financieel beheer. Op basis van vele factoren, waaronder het type gegevens, de geschiedenis van overheidsverzoeken aan Workday en andere soortgelijke bedrijven, evenals overheidsverklaringen, kwamen we tot de conclusie dat het risico gering is.

Workday zal onze bestaande TIA's onmiddellijk bijwerken om deze wijziging in de Amerikaanse wetgeving te weerspiegelen en onze TIA blijven gebruiken om overdrachten te ondersteunen met behulp van de juridische mechanismen die Workday al gebruikt, zoals Bindende bedrijfsvoorschriften voor verwerkers en Standaard contractuele clausules. Daarnaast handhaaft Workday onze certificering voor het Privacyshild-kader. Aangezien de juridische kwesties van het Privacyschild niet waren gebaseerd op commerciële gegevenspraktijken maar op nationale veiligheidskwesties, verwachten we dat het proces voor het gebruik van het nieuwe EU-VS-kader voor gegevensbescherming als wettelijk mechanisme voor gegevensoverdracht vrijwel naadloos zal verlopen zodra het nieuwe adequaatheidsbesluit is afgerond.

Wat is de volgende stap?

De naadloze gegevensoverdracht tussen de VS en de EU is van fundamenteel belang voor de trans-Atlantische handel en investeringen in de huidige digitale economie, waarin meer gegevens tussen de Verenigde Staten en Europa worden doorgegeven dan waar ook ter wereld. Het is belangrijk dat beleidsmakers samen met bedrijven en andere stakeholders blijvende kaders ontwikkelen en implementeren die gegevensoverdracht mogelijk maken en de privacy beschermen. In de dagen en maanden die volgden op het Schrems II-besluit, heeft Workday intensief samengewerkt met Biden en de regeringsleiders in de Europese Commissie om een koers uit te stippelen voor een vervolgkader voor de gegevensoverdracht. We zijn een groot voorstander van het uitvoeringsbesluit van president Biden waarin de verplichtingen uit het EU-VS-kader voor gegevensbescherming worden uitgevoerd en kijken uit naar de samenwerking met partners in de EU ter ondersteuning van een nieuwe adequaatheidsvaststelling. 

Binnenkort verschijnt de bijgewerkte TIA, dus houd de Workday-community in de gaten. 

Dit blog is eerder gepubliceerd in oktober 2022.