Brussel, 5 november - Tijdens zijn meest recente plenaire vergadering heeft het Europees Comité voor gegevensbescherming (EDPB) een verslag aangenomen over de eerste evaluatie* van het EU-VS-kader voor gegevensbescherming (DPF), alsook een verklaring over de aanbevelingen van de groep op hoog niveau (HLG)** inzake toegang tot gegevens voor doeltreffende rechtshandhaving.
Het EDPB is ingenomen met de inspanningen van de Amerikaanse autoriteiten en de Europese Commissie om het DPF uit te voeren, en neemt nota van verschillende ontwikkelingen sinds de vaststelling van het adequaatheidsbesluit in juli 2023.
Met betrekking tot commerciële aspecten, d.w.z. de toepassing en handhaving van vereisten die van toepassing zijn op ondernemingen die in het kader van dit kader zelf gecertificeerd zijn, merkt het EDPB op dat het Amerikaanse ministerie van Handel alle relevante stappen heeft ondernomen om het certificeringsproces uit te voeren. Dit omvat het ontwikkelen van een nieuwe website, het bijwerken van procedures, het aangaan van contacten met bedrijven en het uitvoeren van bewustmakingsactiviteiten.
Daarnaast is het verhaalmechanisme voor EU-burgers ingevoerd en zijn er uitgebreide richtsnoeren voor klachtenbehandeling gepubliceerd aan beide zijden van de Atlantische Oceaan. Uit het lage aantal klachten dat tot dusver in het kader van het DPF is ontvangen, blijkt echter hoe belangrijk het is dat de autoriteiten van de VS toezichtsactiviteiten initiëren met betrekking tot de naleving van de materiële DPF-beginselen door ondernemingen met een DPF-certificering.
Het EDPB moedigt de ontwikkeling van richtsnoeren door de Amerikaanse autoriteiten aan, ter verduidelijking van de vereisten waaraan door het DPF gecertificeerde ondernemingen moeten voldoen wanneer zij persoonsgegevens doorgeven die zij van EU-exporteurs hebben ontvangen. Ook richtsnoeren van de Amerikaanse autoriteiten over personeelsgegevens zouden welkom zijn. Het EDPB geeft aan beschikbaar te zijn om feedback te geven over deze richtsnoeren.
Wat betreft de toegang van Amerikaanse overheidsinstanties tot persoonsgegevens die vanuit de EU worden doorgegeven aan gecertificeerde organisaties, richtte het EDPB zich op de doeltreffende uitvoering van de waarborgen die bij Uitvoeringsbesluit 14086 zijn ingevoerd in het rechtskader van de VS, zoals de beginselen van noodzakelijkheid en evenredigheid en het nieuwe verhaalmechanisme. De afwikkelingsraad is van mening dat de elementen van het verhaalmechanisme aanwezig zijn; tegelijkertijd herhaalt het de oproep aan de Europese Commissie om toezicht te houden op de praktische werking van de verschillende waarborgen, bijvoorbeeld de toepassing van de beginselen van noodzakelijkheid en evenredigheid. Het EDPB beveelt de Commissie ook aan toezicht te houden op toekomstige ontwikkelingen in verband met de Amerikaanse Foreign Intelligence Surveillance Act, met name gezien het uitgebreide bereik van artikel 702 na de hernieuwde goedkeuring ervan door het Amerikaanse Congres eerder dit jaar.
Vicevoorzitter Zdravko Vukić van de EDPB: “Wijzijn verheugd dat er sinds de vaststelling van het adequaatheidsbesluit vooruitgang is geboekt dankzij de vruchtbare samenwerking tussen de Amerikaanse autoriteiten, de Europese Commissie en het EDPB. Tegelijkertijd is er nog ruimte voor verbetering en moeten we blijven samenwerken om een hoog niveau van gegevensbescherming te handhaven en de rechten en vrijheden van EU-burgers te waarborgen.”
Tot slot beveelt de raad aan dat de volgende herziening van het adequaatheidsbesluit tussen de EU en de VS binnen drie jaar of minder plaatsvindt.
In de verklaring over de aanbevelingen van de Groep op hoog niveau inzake toegang tot gegevens voor doeltreffende rechtshandhaving wordt benadrukt dat de grondrechten moeten worden gewaarborgd wanneer rechtshandhavingsinstanties toegang hebben tot de persoonsgegevens van personen. Hoewel het EDPB het doel van doeltreffende rechtshandhaving steunt, wijst het erop dat sommige aanbevelingen van de groep op hoog niveau kunnen leiden tot ernstige inbreuken op de grondrechten, met name de eerbiediging van de persoonlijke levenssfeer en het familie- en gezinsleven.
Hoewel het EDPB er met voldoening nota van neemt dat de aanbeveling kan leiden tot de totstandbrenging van een gelijk speelveld op het gebied van gegevensbewaring, is het van mening dat een brede en algemene verplichting voor alle dienstverleners om gegevens in elektronische vorm te bewaren, zou leiden tot een aanzienlijke inmenging in de rechten van personen. Daarom vraagt het EDPB zich af of dit zou voldoen aan de vereisten van noodzakelijkheid en evenredigheid van het Handvest van de grondrechten van de EU en de jurisprudentie van het HvJ-EU.
In zijn verklaring benadrukt het EDPB ook dat de aanbevelingen inzake encryptie het gebruik ervan niet mogen verhinderen of de doeltreffendheid van de door het EDPB geboden bescherming niet mogen verzwakken. De invoering van een client-side proces dat toegang op afstand mogelijk maakt tot gegevens voordat deze worden versleuteld en verzonden via een communicatiekanaal, of nadat deze bij de ontvanger zijn gedecodeerd, zou in de praktijk de encryptie verzwakken. Het behoud van de bescherming en de doeltreffendheid van versleuteling is belangrijk om te voorkomen dat de eerbiediging van het privéleven en de vertrouwelijkheid negatief worden beïnvloed en om ervoor te zorgen dat de vrijheid van meningsuiting en de economische groei, die afhankelijk zijn van betrouwbare technologieën, worden gewaarborgd.
Opmerking voor redacteuren
* Overeenkomstig artikel 3 van het adequaatheidsbesluit tussen de EU en de VS moet de Europese Commissie het adequaatheidsbesluit één jaar na de vaststelling ervan herzien. De evaluatievergadering vond plaats in Washington D.C. op 18-19 juli 2024 en de Europese Commissie werd vergezeld door vijf vertegenwoordigers van het EDPB.
** De groep op hoog niveau is in juni 2023 door de Europese Commissie opgericht en wordt gezamenlijk voorgezeten door de Europese Commissie en het roulerende voorzitterschap van de Raad. Het werd gelanceerd met als doel de uitdagingen voor rechtshandhavers in verband met de toegang tot gegevens te onderzoeken en oplossingen en aanbevelingen voor te stellen.
In juni 2024 publiceerde de Groep op hoog niveau 42 aanbevelingen voor de verdere ontwikkeling van EU-beleid en -wetgeving, gestructureerd als “maatregelen voor capaciteitsopbouw”, “samenwerking met de industrie en normalisatie” en “wetgevingsmaatregelen”. De aanbevelingen hebben met name betrekking op encryptie, samenwerking met de sector en tussen rechtshandhavingsinstanties, en de behoefte aan geharmoniseerde regels inzake gegevensbewaring.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.