Toezichthouders: verbeteringen, maar ook nog zorgen bij Privacy Shield-opvolger

Europese privacytoezichthouders zijn bezorgd over het Data Privacy Framework, het data-uitleveringsverdrag tussen Europa en de VS dat het controversiële Privacy Shield moet vervangen. De koepel van toezichthouders ziet voordelen, maar heeft ook zorgen over definities.

De kritiek komt van de European Data Protection Board, de koepel van Europese privacytoezichthouders zoals de Autoriteit Persoonsgegevens en de Gegevensbeschermingsautoriteit. De instantie schrijft dat het een verslag heeft geschreven over de EU-US Data Privacy Framework, ook wel het DPF genoemd. Dat is een overeenkomst tussen de Europese Unie en de Verenigde Staten voor het verzenden van data van Europa naar Amerika. Het framework werd begin vorig jaar vastgesteld en geldt als vervanger van het controversiële Privacy Shield, dat het Europees Hof van Justitie in 2020 illegaal verklaarde. De privacytoezichthouderskoepel schrijft nu dat het het nieuwe DPF-verdrag een goede stap vindt, maar dat er ook nog zorgen zijn over bepaalde onderdelen.

De EDPB noemt specifiek zorgen over bepaalde uitzonderingen op het recht op inzage van gegevens. Zo kan een rechtbank in Amerika die inzage verbieden op grond van bijvoorbeeld nationale veiligheid. Maar, zegt de EDPB, het is onmogelijk voor de toezichthouder om te weten wat dat betekent. Daarvoor is diepgaande kennis nodig van Amerikaanse federale en lokale wetgeving en die kennis is er niet. De EDPB wil daarom dat het nieuwe verdrag die uitzonderingen nader specificeert.

Ook andere definities ontbreken in het verdrag. Zo worden termen als 'agent' of 'verwerker' gebruikt, maar die termen worden niet uitgewerkt. Daarom is onduidelijk wanneer een partij een verwerker van persoonsgegevens is. De EDPB heeft daarnaast zorgen over wanneer data van Europese burgers wordt opgenomen in geautomatiseerde besluitvorming. Volgens de toezichthouder is in het verdrag niet duidelijk onder welke voorwaarden dat wel en niet gebeurt.

Oplossing voor Privacy Shield

Een laatste belangrijk punt is dat van toezicht. In het verdrag staat dat zowel de EDPB als de individuele toezichthouders uit lidstaten toezicht mogen houden op dataoverdracht, maar er zijn uitzonderingsregels waarbij partijen zich niet aan het verdrag hoeven te houden en de toezichthouders daar niets over te zeggen hebben. Volgens de EDPB zouden die uitzonderingsregels duidelijker moeten worden gemaakt.

Het grote struikelblok uit Privacy Shield is met een 'executive order' opgelostDe toezichthouder ziet aan de andere kant wel degelijk verbeteringen in het verdrag ten opzichte van Privacy Shield. Het gaat dan vooral om de overdracht van 'overheidsdata'. Dat was het grootste struikelblok van Privacy Shield; het ging dan om data die door de Amerikaanse inlichtingendiensten werden verzameld. Privacy Shield klapte vooral omdat op die categorie geen waarborgen zaten. Met andere woorden: de Amerikaanse inlichtingendiensten mochten bij alle data van Europeanen komen, ongeacht alle andere waarborgen.

Dat probleem is in het nieuwe verdrag grotendeels opgelost, zegt de EDPB. Dat komt door een executive order die president Joe Biden in oktober vorig jaar ondertekende. In dat bevel staat dat inlichtingendiensten alleen data van Europeanen mogen verzamelen als dat 'noodzakelijk en proportioneel' is. Dat wordt door een rechter getoetst.

De EDPB raadt de Europese Commissie aan bepaalde termen in het nieuwe verdrag beter te specificeren, alvorens dat door de rest van het Europese wetgevingsproces heen gaat.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 02-03-2023 08:57
12 • submitter: Anonymoussaurus

02-03-2023 • 08:57

12

Submitter: Anonymoussaurus

Lees meer

Over boetes aan burgers en burgemeesters

7 okt 2023

Over boetes aan burgers en burgemeesters

Gegevensbescherming in België

15
Europees Hof van Justitie: politie mag telefoon doorzoeken bij kleine misdrijven
Europees Hof van Justitie: politie mag telefoon doorzoeken bij kleine misdrijven Nieuws van 7 oktober 2024
'Interne privacytoezichthouders kunnen hun werk niet altijd goed genoeg doen'
'Interne privacytoezichthouders kunnen hun werk niet altijd goed genoeg doen' Nieuws van 24 januari 2024
Belgische privacytoezichthouder gooit 389 klachten weg wegens onderbezetting
Belgische privacytoezichthouder gooit 389 klachten weg wegens onderbezetting Nieuws van 1 september 2023
Europese Commissie neemt opvolger van datadoorgifteverdrag Privacy Shield aan
Europese Commissie neemt opvolger van datadoorgifteverdrag Privacy Shield aan Nieuws van 10 juli 2023
Gegevensbeschermingsautoriteit heeft voor het eerst in jaar weer hele directie
Gegevensbeschermingsautoriteit heeft voor het eerst in jaar weer hele directie Nieuws van 27 juni 2023
Verdrag dat belastingdata van Europese Amerikanen naar VS stuurt, is tegen AVG
Verdrag dat belastingdata van Europese Amerikanen naar VS stuurt, is tegen AVG Nieuws van 25 mei 2023
Gegevensbeschermingsautoriteit ontving vorig jaar 604 privacyklachten
Gegevensbeschermingsautoriteit ontving vorig jaar 604 privacyklachten Nieuws van 23 mei 2023
Meta krijgt Ierse AVG-boete van 1,2 miljard euro voor illegale dataoverdrachten
Meta krijgt Ierse AVG-boete van 1,2 miljard euro voor illegale dataoverdrachten Nieuws van 22 mei 2023
Privacytoezichthouder wil opheldering over frauderisicoalgoritmes bij gemeenten
Privacytoezichthouder wil opheldering over frauderisicoalgoritmes bij gemeenten Nieuws van 16 mei 2023
RTL Nieuws: Nederlandse inlichtingendienst bespioneert illegaal burgers
RTL Nieuws: Nederlandse inlichtingendienst bespioneert illegaal burgers Nieuws van 15 mei 2023
Europees Hof: AVG vereist geen schadedrempelwaarde voor schadevergoeding
Europees Hof: AVG vereist geen schadedrempelwaarde voor schadevergoeding Nieuws van 5 mei 2023
EDPB: EU-lidstaten overtreden Europees recht met verwerking passagiersgegevens
EDPB: EU-lidstaten overtreden Europees recht met verwerking passagiersgegevens Nieuws van 15 december 2022
Toezichthouders willen Meta's gepersonaliseerde advertenties illegaal verklaren
Toezichthouders willen Meta's gepersonaliseerde advertenties illegaal verklaren Nieuws van 8 december 2022
Privacytoezichthouders EU zijn bezorgd over wet die kindermisbruikscan verplicht
Privacytoezichthouders EU zijn bezorgd over wet die kindermisbruikscan verplicht Nieuws van 30 juli 2022
Europese privacytoezichthouders willen strengere regels voor delen medische data
Europese privacytoezichthouders willen strengere regels voor delen medische data Nieuws van 19 juli 2022
Privacytoezichthouders noemen nieuwe anti-witwascontroles 'risico voor burgers'
Privacytoezichthouders noemen nieuwe anti-witwascontroles 'risico voor burgers' Nieuws van 23 mei 2022
Europese privacytoezichthouders rondden vorig jaar 141 internationale zaken af
Europese privacytoezichthouders rondden vorig jaar 141 internationale zaken af Nieuws van 12 mei 2022
EU-privacytoezichthouders: Dataverordening is onduidelijk over rol AVG
EU-privacytoezichthouders: Dataverordening is onduidelijk over rol AVG Nieuws van 6 mei 2022
Meer producten en artikelen
Politiek en recht Privacy Autoriteit Persoonsgegevens Europese Commissie

Reacties (12)

-Moderatie-faq
12
11
5
1
0
6
Wijzig sortering
Cluefull 2 maart 2023 09:48
...Dat probleem is in het nieuwe verdrag grotendeels opgelost, zegt de EDPB. Dat komt door een executive order die president Joe Biden in oktober vorig jaar ondertekende...
Ik vind dat nogal een naïeve opvatting. Het probleem met executive orders is, dat die op elk moment ingetrokken kunnen worden, door de president of opvolger, het Congress, de rechter, en dus geen zekerheid geeft. De executive order is dus vlg. mij de minst zekere manier om iets te waarborgen. De recente geschiedenis in de VS leert dat ook.
The President who issued an Executive Order can revoke it. Likewise, an incumbent President has the power to revoke an Executive Order issued by a predecessor. Congress also has the power to overturn an Executive Order by passing legislation that invalidates it. (The President, of course, may veto such legislation, in which case Congress may override the veto by a two-thirds majority). Congress could also effectively thwart an Executive Order calling for an action that requires funding by using its power of the purse to deny the necessary funding. Finally, the courts have the power to stay enforcement or ultimately overturn an Executive Order that is found to be beyond the President’s constitutional authority.
- American Bar Organization
https://www.americanbar.o...sources/executive_orders/
berzerker @Cluefull2 maart 2023 11:01
Ik vind dat nogal een naïeve opvatting. Het probleem met executive orders is, dat die op elk moment ingetrokken kunnen worden, door de president of opvolger, het Congress, de rechter, en dus geen zekerheid geeft.
Een wet kan ook worden ingetrokken. Er is geen zekerheid op lange termijn met welke vorm van wetgeving dan ook. En dat is geen probleem want de goedkeuring van de EU kan ook altijd worden ingetrokken.

Dit artikel (enigszins taaie kost) legt uit waarom een Executive Order hier is gekozen en geen reguliere wetgeving (samenvatting: dit was de enig beschikbare optie in het Amerikaanse rechtssysteem).

Inhoudelijk zitten er natuurlijk onduidelijkheden in, zoals de EDPB ook aangeeft, maar ik weet eigenlijk niet of onze eigen (dus in de landen van de EU) wetgeving met betrekking tot nationale veiligheid nou zoveel duidelijker is.
damouze 2 maart 2023 09:07
Een laatste belangrijk punt is dat van toezicht. In het verdrag staat dat zowel de EDPB als de individuele toezichthouders uit lidstaten toezicht mogen houden op dataoverdracht, maar er zijn uitzonderingsregels waarbij partijen zich niet aan het verdrag hoeven te houden en de toezichthouders daar niets over te zeggen hebben. Volgens de EDPB zouden die uitzonderingsregels duidelijker moeten worden gemaakt.
Op het moment dat er uitzonderingsregels zijn op het kunnen houden van toezicht is de mogelijkheid tot degelijk toezicht al verdwenen.
The Zep Man
2 maart 2023 09:09
Met andere woorden: de Amerikaanse inlichtingendiensten mochten bij alle data van Europeanen gebruiken, ongeacht alle andere waarborgen.
Als techneut maak ik mij ten eerste niet zo druk om 'mogen'. Ik ben meer bezig met 'kunnen'.

Als data te waardevol is om niet te gebruiken, dan wordt het gebruikt. In tegenstelling tot een gemiddelde commerciële organisatie is geld niet altijd de drijfveer bij een overheid. Een overheid kan zoveel maal meer investeren om een ander éénmaal pijn te doen. Data wordt daardoor al snel (als) waardevol (gezien) t.o.v. de kosten van het gebruik.

Inlichtingendiensten in het algemeen en Amerikaanse in het bijzonder zijn nu niet een boegbeeld van overheidsorganen die zich netjes aan de regels houden. Reken maar dat er een sterke aantrekkingskracht is tot buitenlandse data op eigen grondgebied. 'Rules be damned' in een land dat toetst naar de letter van wet- en regelgeving, en niet de gedachte.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 09:30]

Dasprive 2 maart 2023 10:05
Misschien nog even twee zaken meegeven:

Dit verdrag is voorlopig nog gewoon een concept, tot de lidstaten ermee ingestemd hebben. De verwachting is dat dit tegen juni-juli in orde is.

Daarnaast is Max Schrems al druk bezig met de voorbereidingen om ook dit verdrag ongeldig te laten verklaren zoals bij de vorige twee versies gebeurde. Het is dus zeker niet ondenkbaar dat dit nieuwe verdrag weer 2 jaar schijnzekerheid biedt om dan toch weer in hetzelfde bedje ziek te blijken. https://noyb.eu/en/statem...sion-adequacy-decision-us

Vergeet ook niet door de diplomatieke teksten heen te prikken: de EDPB is wel degelijk zeer kritisch maar heeft geen bindende adviesmogelijkheid en uit zich dus zeer vriendelijk. Ze moeten het hier immers mee gaan doen de komende jaren, maar ze benadrukken hard dat er toezicht moet komen op de naleving.
anilv26 2 maart 2023 12:51
Alsof dit "ze" zal tegenhouden om het niet te gebruiken.
Achja, het crëert een soort rust en vertrouwen, toch?
de Amerikaanse inlichtingendiensten mochten bij alle data van Europeanen gebruiken, ongeacht alle andere waarborgen.
Dat probleem is in het nieuwe verdrag grotendeels opgelost, zegt de EDPB. Dat komt door een executive order die president Joe Biden in oktober vorig jaar ondertekende. In dat bevel staat dat inlichtingendiensten alleen data van Europeanen mogen verzamelen als dat 'noodzakelijk en proportioneel' is. Dat wordt door een rechter getoetst.
Sylvia @anilv262 maart 2023 23:02
Maar, zo’n executive order kan ook zomaar weer ingetrokken worden? Ik denk dat het hele uitgangspunt moet zijn dat er helemaal geen recht op inzage is. Dat inzage enkel bij hoge uitzondering gegeven zou moeten worden en dat dan getoetst moet worden door een Europese rechter, niet een Amerikaanse. Het gaat tenslotte om gegevens van Europese burgers.
AntonNus 2 maart 2023 14:24
Ok deze wordt dus ook over een paar jaar weer afgeschoten, wat is die Schrems toch een held.

Wanneer krijgen we een keer een omgekeerde situatie, er wordt een verdrag afgesloten, getoest bij de het EU hof en wanneer het akkoord wordt pas geldig verklaart. Op deze manier kunnen ze de boel tot de eeuwigheid rekken, dat moet ik eens proberen bij mijn overeenkomsten.
berzerker @AntonNus2 maart 2023 16:09
Ok deze wordt dus ook over een paar jaar weer afgeschoten.
Dat is maar helemaal de vraag. Het nu voorgestelde framework neemt alle probleempunten van Privacy Shield (zoals die door het Europese Hof van Justitie waren geformuleerd) weg lijkt het. Maar door verschillen in de juridische systemen wederzijds zijn er natuurlijk altijd wel punten te vinden waar e.e.a. gekunsteld kan overkomen (zoals het gebruik van een executive order in plaats van een reguliere wet, en het gegeven dat Europeanen zich niet tot de reguliere rechterlijke instanties in de VS kunnen wenden.
Wanneer krijgen we een keer een omgekeerde situatie, er wordt een verdrag afgesloten, getoest bij de het EU hof en wanneer het akkoord wordt pas geldig verklaart. Op deze manier kunnen ze de boel tot de eeuwigheid rekken, dat moet ik eens proberen bij mijn overeenkomsten.
Jij ziet hier kennelijk een snood plan van de EU om de privacy van Europeanen te ondermijnen? Logisch lijkt dat niet; waarom zouden ze dan eerst GDPR überhaupt ingevoerd hebben?

[Reactie gewijzigd door berzerker op 23 juli 2024 09:30]

AntonNus @berzerker2 maart 2023 22:16
Jij ziet hier kennelijk een snood plan van de EU om de privacy van Europeanen te ondermijnen? Logisch lijkt dat niet; waarom zouden ze dan eerst GDPR überhaupt ingevoerd hebben?
Nee dat bedoel ik niet, als je al zoals dit telkens een verdrag hebt wat na een paar jaar afgeschoten wordt door het EU hof en dan weer een paar jaar gedoogd onder het mom van we werken aan een nieuw verdrag. Waarna weer hetzelfde gebeurt. Waarom gaat het dan niet andersom. Eerst toetsen en dan pas wordt het geldig.

De GPDR is ingevoerd met bepaalde redenen, helaas is de realiteit dat we ondergeschikt zijn aan de VS op dit gebied. Dus komt het allemaal eigenlijk niet zo goed uit en wordt er creatief omheen gewerkt. Als je echt hard voor de GDPR zou gaan dan zou het uitwisselen gewoon al jaren verboden zijn.
berzerker @AntonNus3 maart 2023 10:43
Nee dat bedoel ik niet, als je al zoals dit telkens een verdrag hebt wat na een paar jaar afgeschoten wordt door het EU hof en dan weer een paar jaar gedoogd onder het mom van we werken aan een nieuw verdrag. Waarna weer hetzelfde gebeurt. Waarom gaat het dan niet andersom. Eerst toetsen en dan pas wordt het geldig.
Omdat dit helemaal niet zo is gepland. De Europese Commissie was echt van mening dat de vorige 2 versies ook gewoon goed waren, en daar waren best goede argumenten voor. En als je de rechter vooraf wetten zou laten toetsen, zou dat dan betekenen dat als iemand bezwaren heeft die de rechter had gemist, dat die bezwaren dan niet meer door de rechter gehoord zouden kunnen worden? Zo niet, dan levert het niet eens meer zekerheid op.
De GPDR is ingevoerd met bepaalde redenen, helaas is de realiteit dat we ondergeschikt zijn aan de VS op dit gebied. Dus komt het allemaal eigenlijk niet zo goed uit en wordt er creatief omheen gewerkt. Als je echt hard voor de GDPR zou gaan dan zou het uitwisselen gewoon al jaren verboden zijn.
GDPR gaat over veel meer dan alleen data export naar de VS. En het is ook niet bedoeld als een middel om de Europese markt af te schermen. Vrijhandel tussen de EU en de VS is een groot goed. De VS heeft gewoon een ander rechtssysteem en heeft, net als alle andere landen, legitieme veiligheidsbelangen. Dat is waar de bezwaren zich op richten: niet op het gebruik van Europese data door partijen als Facebook of Google (die moeten zich sowieso aan GDPR houden), maar door de Amerikaanse veiligheidsdiensten. Het probleem was dat je als Europeaan eigenlijk niets zinnigs kon doen als de Amerikaanse veiligheidsdiensten je data verkeerd gebruikten (dus dat je opeens op een zwarte lijst komt te staan of zo), en de nieuwe methologie probeert die rechten uit te breiden. Daarbij is het gewoon relevant wat er überhaupt mogelijk is in het Amerikaanse rechtssysteem, en het is lastig om daar Europese rechtsbegrippen op te laten aansluiten. De poging lijkt nu in ieder geval beter dan de vorige 2 keren. Het is dan ook helemaal niet zeker dat de nieuwe opzet ook door het Europese Hof van Justitie afgeschoten zal worden, hoewel Schrems anders beweert.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq