Er komt een nieuw akkoord aan tussen de EU en de VS over gegevensoverdracht, maar we kunnen niet meer terug naar de situatie van vóór Schrems II

Er komt een nieuw akkoord aan tussen de EU en de VS over gegevensoverdracht, maar we kunnen niet meer terug naar de situatie van vóór Schrems II

Nu er een ‘executive order’ van Joe Biden is, kan er echt werk gemaakt worden van de nieuwe overeenkomst tussen de EU en de VS over de overdracht van gegevens. Maar zelfs met dit nieuwe kader kunnen we niet meer terugkeren naar de wereld van vóór de Schrems II-uitspraak.

Amsterdam, 11 oktober 2022 – De Amerikaanse president Joe Biden heeft op vrijdag 7 oktober een executive order (EO) getekend, waarin hij opdracht geeft om de bezwaren te adresseren in de uitspraak (‘Schrems II’) van het Europese Hof van Justitie van juli 2020, waarin het Privacy Shield-verdrag ongeldig werd verklaard. Deze EO luidt het startschot voor het opstellen van een nieuw EU-VS-kader voor gegevensprivacy. Als alles goed gaat, wordt de nieuwe overeenkomst in maart 2023 gepubliceerd, waarmee een einde komt aan een lange periode van onzekerheid in de trans-Atlantische digitale economie.

Na het ongeldig verklaren van Privacy Shield zijn de gegevensbeschermingsautoriteiten (DPA’s) van de verschillende EU-landen begonnen met het onderzoeken van organisaties die Amerikaanse Big Tech-producten gebruiken om persoonsgegevens naar het buitenland te sturen. Daarbij werd vooral gekeken naar de inzet van Google. Het gebruik van Google Analytics, een van de meest gebruikte tools voor webanalyse, is in de EU inmiddels verboden door de gegevensbeschermingsautoriteiten van Frankrijk, Oostenrijk, Italië en Denemarken.

“De meeste Amerikaanse technologie stuurt gegevens door naar de VS. EU-organisaties vertrouwen sterk op die oplossingen, vooral voor business en marketing. De juridische gevolgen van de Schrems II-uitspraak zorgen voor chaos en onzekerheid bij hun bedrijfsactiviteiten”, zegt Vincent de Winter, Regional Manager Benelux bij Piwik PRO, leverancier van een privacyvriendelijk alternatief voor Google Analytics.

De nieuwe oplossing heeft nu al gebreken

De nieuwe executive order introduceert onder andere een reeks aanvullende garanties en vereisten om de toegang tot gegevens van EU-burgers door Amerikaanse toezichthouders te beperken. Ook wordt er een systeem voor het afhandelen van klachten ingevoerd.

Hoewel de omvang en reikwijdte van de wijzigingen die met deze EO worden ingevoerd om de gegevens van EU-burgers te beschermen misschien ongekend zijn, is het nog altijd een gebrekkige oplossing. Zo zegt noyb, de Oostenrijkse NGO die verantwoordelijk is voor het openbreken van twee eerdere overeenkomsten inzake gegevensoverdracht, in haar eerste beoordeling van het document:

• De executive order is geen wet en kan gemakkelijk overstemd worden door een andere executive order. Deze zwakke juridische constructie zal waarschijnlijk niet voldoende zijn voor het Europese Hof van Justitie.
• Vanuit het perspectief van de VS hebben Europeanen geen privacyrechten. Het vierde amendement van de Amerikaanse grondwet kent deze rechten alleen toe aan Amerikaanse burgers. Alle niet-VS burgers kunnen daardoor makkelijk het doelwit worden van surveillance.
• Amerikaanse organisaties die in de EU actief zijn, zijn niet gebonden aan de AVG. Volgens de EO hebben deze organisaties geen rechtsgrondslag nodig voor het verzamelen van gegevens en moeten ze alleen een opt-out mechanisme bieden voor degenen die hun gegevens niet willen delen. Hierdoor worden EU-bedrijven die wel aan de AVG moeten voldoen serieus benadeeld.

Net als eerder bij Safe Harbor en Privacy Shield, is nyob vastbesloten om deze nieuwe overeenkomst bij de rechter aan te vechten.

Omgaan met de onzekerheid

Sinds het Schrems II-arrest, waarbij de gegevensdoorgifte tussen de EU en de VS in feite werd verboden, hebben veel organisaties in de EU hun technologieën en methoden aangepast aan het nieuwe juridische landschap. De twee meest gebruikte oplossingen waren:

• Het beperken/uitsluiten van gegevensoverdracht en anonimisering. De Amerikaanse technologie is sterk afhankelijk van gebruikersidentificatie en gegevensoverdracht. Het beperken van de overdracht of het ontdoen van de gegevens van persoonlijk identificeerbare informatie helpt om dit probleem te aan te pakken, maar daar hangt wel een prijskaartje aan. Wanneer Google Analytics bijvoorbeeld zo wordt geconfigureerd dat het voldoet aan de AVG-normen (volgens de Franse DPA-richtlijnen), verliest het de meeste van zijn mogelijkheden.
• Technologie vervangen door EU-alternatieven. Schrems II creëerde marktkansen voor EU-bedrijven die business- en marketingsoftware met lokale EU-hosting aanbieden. Met deze alternatieven kunnen organisaties volledig onafhankelijk worden van gegevensoverdracht naar de VS.

Er is geen weg terug

Het nieuwe kader zal hopelijk een einde maken aan meer dan twee jaar onrust, maar de tijd wordt hiermee niet teruggedraaid. Er zijn tekenen dat Schrems II voor altijd manier heeft veranderd hoe bedrijven en wetgevers omgaan met gegevensoverdracht en de privacy van gebruikers:

• Verdere aanpassingen van het juridische landschap. De Digital Service Act en Digital Market Act van de EU hervormen de betrekkingen tussen Europa en de belangrijkste Amerikaanse technologiebedrijven. De ePrivacy-verordening, die nu nog in de maak is, zal de regels voor het verzamelen en verwerken van gegevens in de digitale wereld nader specificeren.
• Een verschuiving in de visie van organisaties op privacy. Volgens een recente survey door Piwik PRO is ruim 70% van de marketing executives en CEO’s in de EU het ermee eens dat het belangrijk is om de online privacy van gebruikers te respecteren. Bijna de helft van de respondenten denkt erover om hun huidige marketingoplossingen te vervangen door alternatieven uit de EU.
• Veranderingen in digitale marketing en advertising. Deze sectoren zijn sterk afhankelijk van de overdracht en verwerking van persoonsgegevens. De twee belangrijkste mechanismen, het toestemmingskader TCF2 van het IAB en het Real Time Bidding-systeem, worden nu onderzocht door gegevensbeschermings- autoriteiten en juridische ngo’s. De uitkomsten van deze onderzoeken zal de manier waarop deze sectoren in de EU opereren, veranderen.

“Nu alternatieve oplossingen hun kwaliteiten hebben bewezen, zullen veel organisaties niet meer terugkeren naar de oplossingen die ze vóór Schrems II gebruikten. Zelfs niet wanneer het nieuwe kader voor gegevensoverdracht uiteindelijk van kracht wordt. Bovendien hebben we inmiddels al te veel vooruitgang geboekt, zowel op juridisch als intellectueel niveau, om gewoon terug te keren naar de oude aanpak. Een nieuwe, meer privacyvriendelijke aanpak is de beste manier om vooruit te komen” – besluit De Winter.

Over Piwik PRO

Piwik PRO is een Europees bedrijf met meer dan 350 klanten, waaronder ŠKODA Auto, Crédit Agricole en de Europese Commissie. In Nederland gebruiken onder andere de Nederlandse overheid, het Anne Frank Huis, Candid Group, Swink, Sana Commerce en Iddink Group Piwik PRO. Private en publieke organisaties gebruiken Piwik PRO als krachtige en privacy-compatibele analysesoftware. Piwik PRO Analytics Suite biedt flexibele gegevensverzameling en rapporten, plus toestemmingsbeheer, tag management en een platform voor klantgegevens. Kijk voor meer informatie ophttps://piwikpro.nl/.