Nog een Schrems II in de maak? Trumps privacy beleid kan opnieuw roet in het eten gooien van EU-VS datatransfers

Privacyprofessionals in de EU, maak je borst maar nat: trans-Atlantische datatransfers staan mogelijk opnieuw onder druk.

In een ontwikkeling die al voor opschudding zorgt binnen de wereld van privacy en compliance, heeft voormalig president Donald Trump verschillende sleutelfiguren uit de Privacy and Civil Liberties Oversight Board (PCLOB) verwijderd. Juist dit toezichthoudend orgaan moet ervoor zorgen dat Amerikaanse surveillancepraktijken in lijn zijn met privacy rechten

Waarom is dit relevant voor GDPR-compliance?

De PCLOB is een belangrijke pijler onder het vertrouwen van de EU in de Amerikaanse waarborgen het nieuwe EU-US Data Privacy Framework (DPF). Zonder deze onafhankelijke toezichthouder zou het DPF zomaar hetzelfde lot kunnen ondergaan als zijn voorganger, Privacy Shield—waardoor bedrijven opnieuw in een juridisch vacuüm belanden.

Déjà vu? We hebben dit eerder gezien.

Eerst viel Safe Harbor weg—een overeenkomst waarin Amerikaanse bedrijven zichzelf konden certificeren als ‘adequaat’ volgens EU-privacy maatstaven. Daarna volgde Schrems II, de zaak van de Oostenrijkse privacy activist Max Schrems, die leidde tot de vernietiging van Privacy Shield in 2020. De reden? Het Hof van Justitie van de EU (HvJEU) oordeelde dat Amerikaanse surveillancewetgeving onvoldoende bescherming bood voor de rechten van Europese burgers onder de GDPR en het EU-Handvest.

Het DPF werd in het leven geroepen om dat vertrouwen te herstellen, onder meer via versterkt toezicht. Maar als de PCLOB nu buiten spel staat, is het dan nog wel geloofwaardig?

Wat als het vertrouwen opnieuw wegvalt?

De mogelijke gevolgen:

  • Een nieuwe ongeldigverklaring van EU-VS datatransfers
  • Nieuwe rechtszaken van privacy activisten (Schrems III?)
  • Bedrijven die zich noodgedwongen moeten richten op Standard Contractual Clauses (SCCs) of kostbare lokale opslagoplossingen

Wat staat ons te wachten?

Europese toezichthouders zullen ongetwijfeld vragen stellen en mogelijk het adequaatheidsbesluit voor het DPF heroverwegen. Max Schrems en zijn organisatie None of Your Business (NOYB) zouden het framework opnieuw kunnen aanvechten bij het HvJEU—en gezien hun eerdere succes is dat geen vergezocht scenario.

Voor bedrijven die afhankelijk zijn van EU-VS datastromen is het daarom cruciaal om zich voor te bereiden op potentiële verstoringen. Een hernieuwde blik op compliance-aanpak is aan te raden—waarbij het uitvoeren van een gedegen Data Transfer Impact Assessment (DTIA) in ieder geval een verstandige stap is.

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

[1] Liquid staking tokens verwijst naar het verkrijgen van een verhandelbare token in ruil voor het staken van een munt op een proof-of-stake blockchain.