De eerste signalen kwamen vanuit privacyorganisatie noyb en oprichter Max Schrems. Zij waarschuwden dat het huidige Data Privacy Framework kwetsbaar is, omdat het in belangrijke mate steunt op Amerikaanse bestuurlijke waarborgen, waaronder de onafhankelijkheid van de Federal Trade Commission (FTC). Die onafhankelijkheid is volgens Schrems in het geding gekomen na een recente uitspraak van het Amerikaanse hooggerechtshof over de positie van onafhankelijke federale toezichthouders. Volgens de organisatie raakt dat een belangrijk fundament onder het Europese adequaatheidsbesluit voor de Verenigde Staten.
Zorgen over EU-VS-dataovereenkomst nemen toe
De juridische basis voor de uitwisseling van persoonsgegevens tussen de Europese Unie en de Verenigde Staten staat opnieuw onder druk. Waar eerder vooral werd gewaarschuwd voor de kwetsbaarheid van het EU–US Data Privacy Framework (DPF), hebben recente ontwikkelingen de discussie in een stroomversnelling gebracht. Inmiddels heeft de kwestie ook de Tweede Kamer bereikt.
Er werd eerder al gewezen op de mogelijke gevolgen voor Nederlandse overheden. Eind december waarschuwde Schrems dat het data-akkoord tussen de EU en de VS opnieuw onder druk kan komen te staan en hij adviseerde overheidsorganisaties om zich voor te bereiden op een scenario waarin de juridische basis voor gegevensdoorgifte wegvalt.
Google Cloud krijgt groen licht
Tegen deze achtergrond werd op 3 juli bekend dat de Nederlandse publieke sector Google Cloud mag gebruiken. Strategisch Leveranciersmanagement Rijk (SLM Rijk) concludeert op basis van een Data Protection Impact Assessment (DPIA), uitgevoerd door Privacy Company, dat er geen hoge privacyrisico's resteren wanneer de aanbevolen maatregelen worden toegepast.
Volgens de DPIA blijven nog wel enkele middelgrote en lage risico's bestaan, maar die worden beheersbaar geacht. De beoordeling ziet op de wijze waarop Google Cloud kan worden ingezet en welke technische en organisatorische maatregelen daarvoor nodig zijn.
De conclusie van SLM Rijk komt op een saillant moment, nu de juridische basis voor gegevensuitwisseling met de Verenigde Staten dreigt weg te vallen. Mocht het Data Privacy Framework uiteindelijk worden ingetrokken of ongeldig worden verklaard, dan kan dat gevolgen hebben voor het gebruik van Amerikaanse clouddiensten door de overheid.
Kamervragen over gevolgen
De ontwikkelingen hebben inmiddels geleid tot Kamervragen. PRO-Kamerlid Barbara Kathmann heeft staatssecretaris Willemijn Aerdts voor Digitale Economie en Soevereiniteit gevraagd of de uitspraak van het Amerikaanse hooggerechtshof gevolgen heeft voor de rechtmatige uitwisseling van persoonsgegevens tussen de Europese Unie en de Verenigde Staten.
Daarnaast wil zij weten of Nederland voorbereid is op een scenario waarin het Data Privacy Framework ongeldig wordt verklaard. Ook vraagt zij welke toezichthouder verantwoordelijk zou zijn voor het toezicht op gegevensuitwisseling met Amerikaanse partijen als het huidige kader wegvalt, en of er situaties denkbaar zijn waarin aanvullende maatregelen onvoldoende zijn om gegevens rechtmatig naar de Verenigde Staten door te geven.
Tot slot vraagt Kathmann of de staatssecretaris de opvatting deelt dat het verminderen van de afhankelijkheid van Amerikaanse technologiebedrijven de enige structurele manier is om het risico op onrechtmatige gegevensuitwisseling te verkleinen. De staatssecretaris heeft drie weken om de Kamervragen te beantwoorden.
Europese Commissie aan zet
Vooralsnog is het Data Privacy Framework nog steeds van kracht en kunnen organisaties zich daarop beroepen voor gegevensdoorgifte naar de Verenigde Staten. Wel zal de Europese Commissie moeten beoordelen of de recente Amerikaanse jurisprudentie gevolgen heeft voor het eerder afgegeven adequaatheidsbesluit.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.