Privacyorganisatie noyb omschrijft de gevolgen van een recente uitspraak van het Amerikaanse Hooggerechtshof als het ‘exploderen’ van de EU-US Data Privacy Framework, dat in werking is sinds 10 juli 2023. Oprichter Max Schrems roept de Europese Commissie op het adequaatheidsbesluit voor de VS in te trekken.
Het Amerikaans hooggerechtshof heeft bepaald dat de onafhankelijkheid van de Federal Trade Commission (FTC) ongrondwettig is. Dat raakt de kern van het EU-US Data Privacy Framework (DPF). De EU vertrouwt voor toezicht in de VS namelijk juist op die FTC.
Doorgifte van persoonsgegevens naar landen buiten de Europese Unie mag alleen in bepaalde gevallen. Eén daarvan is een adequaatheidsbesluit, waarbij de Europese Commissie vaststelt dat een land gegevens beschermt op een niveau vergelijkbaar met de AVG. Volgens de Autoriteit Persoonsgegevens geldt zo’n besluit voor vijftien landen, waaronder de VS. Een van de eisen is een onafhankelijk toezicht door een autoriteit. De VS wees daarvoor de FTC aan, dat nu dus niet meer die taak kan volbrengen omdat het niet werkelijk onafhankelijk wordt geacht.
Derde keer dat fundament wankelt
Het is niet de eerste keer dat een EU-VS-regeling omtrent de uitwisseling van persoonsdata onder druk staat. Twee eerdere overeenkomsten, Safe Harbor en Privacy Shield, werden door het Europees Hof van Justitie ongeldig verklaard, in respectievelijk 2015 en 2020. Eerder schreven we al dat de Algemene Rekenkamer een nieuwe nietigverklaring van het DPF niet uitsloot, mede door wetgeving als de Amerikaanse CLOUD Act.
“Gegeven dat de EU in bijna alle gevallen op de ‘onafhankelijkheid’ van de FTC als privacywaakhond vertrouwt, is het fundament van het EU-US Data Privacy Framework in elkaar gestort”, aldus noyb.
Oproep aan de Europese Commissie
Noyb heeft een brief naar de Europese Commissie gestuurd met het verzoek de overeenkomst met de VS in te trekken. Schrems wijst erop dat de uitspraak ook modelcontracten en bedrijfsvoorschriften raakt.
“We roepen de Commissie op om de Amerikaanse cloud te verlaten, wat niet eenvoudig is, maar helaas onvermijdelijk”, zegt Schrems. Ook al werd een uitspraak van het Amerikaanse Hooggerechtshof al langer verwacht met deze gevolgen, de timing bepaalt de stemming des te meer. Europa is in de afgelopen paar jaar volwassener gaan denken over de eigen digitale autonomie, en ontdekt dat deze vrijwel volledig ontbreekt.
De discussie rond digitale soevereiniteit raakt inmiddels niet alleen data, maar ook de applicaties en het beheer ervan. Ook Europese data in de datacenters van Amerikaanse bedrijven maar op Europese bodem, zal door het vermeend instorten van de EU-US Data Privacy Framework nog discutabeler zijn. Microsoft liet een Franse rechter vorig jaar al weten dat het soevereiniteit niet werkelijk kon garanderen voor de eigen klanten. Zo dreigen samenwerkingen met Amerikaanse techspelers volledig op vertrouwen te rusten zonder de juridische basis die je zou hopen te vinden.