De EU stemt in met een nieuwe regeling voor het versturen van persoonlijke data van Europese burgers naar de VS door onder meer socialemediabedrijven. Dit zogenoemde EU-US Data Privacy Framework biedt voldoende bescherming tegen onder meer spionage door Amerikaanse inlichtingendiensten, aldus de EU, en is vergelijkbaar met de beschermingsmaatregelen die binnen de EU van kracht zijn.
“Persoonlijke data kunnen nu ongehinderd en veilig van de EU naar de VS worden verstuurd, zonder verdere voorwaarden of toestemmingen”, zei EU-commissaris voor Justitie Didier Reynders. Volgens hem worden hiermee “de rechten van het individu beschermd”.
Wat is de impact van deze regeling voor onderzoekdata?
Deze beslissing van de EU (EU-US Data Privacy Framework) geeft de wettelijke mogelijkheid om persoonsgegevens te versturen naar een land dat geen (federale of onvoldoende federale wetgeving heeft) in dit geval de Verenigde Staten.
Als er een adequaatsheidsbeslissing van de Europese Commissie ligt dan is het gegevensverkeer onder de voorwaarden in de beslissing toegestaan. Hier is aangegeven bijvoorbeeld dat een inwoner van de EU eenvoudig een klacht kan indienen.
Het echte administratieve voordeel is dat het niet meer noodzakelijk is om naast de verwerkersovereenkomst, extra overeenkomsten te sluiten. Het blijft echter wel mogelijk om gebruik te maken van EU standard clauses overeenkomst, maar dan zullen nog enkele andere zaken, zoals klachtenmogelijkheid dienen te worden ingericht.
Het EU-US Data Privacy Framework is basis waarop persoonsgegevens kunnen worden verstrekt naar de Verenigde Staten. Ware het niet dat men zich steeds de vraag zal moeten stellen, waarom opslag buiten de Europese Unie noodzakelijk is en of het mogelijk is om de persoonsgegevens te anonimiseren voor deze op te slaan buiten de EU.
Het expertisecentrum Data & Insights Network is niet voor en niet tegen het EU-US Data Privacy Framework. Het blijft afhankelijk hoe het privacybeleid in de organisatie is vormgegeven en wat daar het beste bij past, beveiliging blijft beveiliging. En ook bij dataopslag in de Verenigde Staten door een organisatie uit de Europese Unie blijft de GDPR van toepassing. De crux lijkt te zitten hoe serieus de Verenigde Staten de regeling in praktijk naleeft (de EU overigens ook).