Mogen we weer Amerikaanse SaaS-diensten als Mailchimp gaan gebruiken?

Door de overeenkomst is het binnenkort weer toegestaan om persoonsgegevens met Amerikaanse bedrijven te delen. Niet dat we ons er veel van aan hebben getrokken dat we geen persoonsgegevens meer mochten delen met Amerikaanse bedrijven. De handhavers, zoals in Nederland de Autoriteit Persoonsgegevens, zijn ook te klein om deze regels te handhaven en hebben het te druk met onderzoeken naar giganten Google en Facebook, het beboeten van datalekken en het afhandelen van klachten.

Lees ook: Zes vragen en antwoorden over de AVG

Binnenkort is het mogelijk weer toegestaan om toch persoonsgegevens met Amerikaanse bedrijven te delen, wanneer deze bedrijven de zelfcertificering doorstaan. De tekst is nog nog niet definitief, maar zal niet lang meer op zich laten wachten. Wat betekent het nieuwe Framework voor ondernemers?

Noodzakelijk en Proportioneel

De VS hebben wetten waarmee ze veel data mogen verzamelen en in mogen zien. Vooral van buitenlanders, zoals inwoners van de EU. De afspraken tussen de VS en de EU in dit Framework zijn nu dat de VS deze wetten niet zomaar in zullen zetten, maar eerst bepalen of de verwerking van de persoonsgegevens wel noodzakelijk en proportioneel is. De vraag is natuurlijk of de afspraken over de beoordeling daarvan wel voldoende zullen zijn en de VS niet te makkelijk kunnen zeggen dat de verwerking noodzakelijk en proportioneel is.

Voor ondernemers is het voordeel dat we met dit Framework weer bedrijven en software in mogen zetten uit de VS. Zonder dat Framework mag het helemaal niet, omdat daarmee altijd de AVG wordt geschonden. Dat bepaalde namelijk het Hof van Justitie EU in 2020 al in een zaak die door de Oostenrijkse privacy-activist Max Schrems was aangespannen. Later hebben Europese toezichthouders ook nog expliciet het gebruik van Mailchimp, Google Analytics en embedded Google Fonts verboden. Als zometeen dit Framework geldt, en Amerikaanse bedrijven zich hieraan gaan houden, dan kunnen wij toch weer deze diensten gaan gebruiken, zonder de AVG te overtreden.

Lees ook: Waarom je interne e-mails meteen moet afschaffen

Onafhankelijke rechtbank

De VS laten het nu niet of nauwelijks toe om door een onafhankelijke rechter te laten toetsen of een verwerking van persoonsgegevens wel was toegestaan. Dus ook niet of dat volgens de eigen Amerikaanse wetten wel mocht. Onlangs is er zelfs nog een rechtszaak geweest waarin bepaald werd dat de betrokkenen niet eens mochten weten welke gegevens de FBI nu precies had verwerkt, waardoor niet beoordeeld kon worden of dat wel rechtmatig was.

In het Framework is nu overeengekomen dat specifiek voor de doorgifte van persoonsgegevens tussen de EU en de VS een onafhankelijke rechtbank wordt opgericht die dit kan toetsen: de Data Protection Review Court.

Zelfcertificering

Net als bij Privacy Shield zullen bedrijven wel weer aan zelfcertificering moeten doen. Dat betekent dat niet elk Amerikaans bedrijf meteen ingezet kan worden voor de verwerking van persoonsgegevens. Wil je in de toekomst weer rechtmatig Amerikaanse software kunnen gebruiken, dan zul je er op moeten letten dat ze die zelfcertificering hebben doorstaan. Hoe dat er concreet uit gaat zien moet nog blijken uit de definitieve tekst van het Framework.

Wanneer gaat het in?

Er moet eerst nog een daadwerkelijk juridisch document komen. De Europese Commissie neemt daar vervolgens nog een zogenaamd adequaatheidsbesluit over, zoals ze ook van andere landen hebben bepaald of het adequate landen zijn om persoonsgegevens mee te delen. In de VS moet een executive order getekend worden door Biden. Dit zal nog enkele maanden in beslag nemen. In de tussentijd blijft de huidige situatie in stand, waarbij het het gebruik van Amerikaanse diensten niet is toegestaan. Door beperkte capaciteit van de Autoriteit Persoonsgegevens is het risico op een boete laag.