Kunnen we voor het beheer van persoonsgegevens nog steeds een beroep doen op Amerikaanse bedrijven?

Wanneer u op zoek bent naar een oplossing om uw gegevens en uw website te hosten, om een e-mailcampagne te versturen, om het bezoek aan uw website te beheren, komen de grote namen van Amerikaanse bedrijven snel in u op. Of het nu gaat om Microsoft, Amazon, Google of andere. Als het gebruik van Europese bedrijven geen problemen oplevert, mag niet worden vergeten dat het toevertrouwen van persoonsgegevens aan niet-Europese bedrijven (buiten de Europese Economische Ruimte) een probleem kan opleveren omdat deze landen de RGPD niet noodzakelijkerwijs naleven. Natuurlijk zijn er landen die volgens de Europese Commissie een gelijkwaardige regelgeving hebben, dat zijn de landen die een "adequaatheidsbesluit" hebben gekregen, en de VS is daar niet bij.

Aangezien de Europese markt zeer interessant is voor de VS, en Europa belang heeft bij een vlotte uitwisseling van gegevens, werd een eerste overeenkomst, de zogenaamde "veilige haven", door beide partijen ondertekend. Aangezien deze overeenkomst door het Europees Hof van Justitie nietig werd verklaard wegens het niet respecteren van de privacy, werd een nieuwe overeenkomst, het Privacy Shield, ondertekend. Maar, zie, het Hof van Justitie vernietigde het opnieuw in juli 2021. 

De redenen zijn heel duidelijk: verschillende Amerikaanse voorschriften staan de Amerikaanse autoriteiten toe Amerikaanse bedrijven te verzoeken om toegang tot informatie over de gegevens waarover zij beschikken, zelfs met betrekking tot Europese burgers of ingezetenen. 

En deze verzoeken om toegang zijn reëel, er worden enkele duizenden verzoeken per jaar op deze basis gedaan en aangezien sommige daarvan vertrouwelijk zijn, worden de betrokken personen niet geïnformeerd. Deze verordening is duidelijk in strijd met de RGPD, waarvan een van de beginselen transparantie en informatie aan de betrokkenen is.

En dus, sinds juli 2021, is het gebruik van Amerikaanse bedrijven niet eenvoudig!

Het Europees Comité voor gegevensbescherming, waarin alle Europese gegevensbeschermingsautoriteiten zijn verenigd, heeft aanbevelingen gedaan die vrij complex zijn om uit te voeren en die bestaan uit een analyse van de juridische mogelijkheden om een beroep te doen op Amerikaanse bedrijven. Maar we moeten toegeven dat, na bestudering ervan en na analyse van de vele documenten die Amerikaanse bedrijven hebben voorgesteld om te proberen Europese bedrijven en organisaties te overtuigen, er nog steeds een mogelijkheid bestaat dat de Amerikaanse autoriteiten toegang hebben tot uw gegevens en dat werken met een Amerikaans bedrijf dus een probleem vormt met betrekking tot de RGPD.

Er is een technische oplossing waarmee u in bepaalde gevallen gebruik kunt maken van de diensten van Amerikaanse bedrijven. Als de gegevens die u in een Amerikaanse cloud host, door u worden versleuteld en uw Amerikaanse onderaannemer dus geen toegang tot de gegevens kan hebben, wordt de RGPD gerespecteerd. Maar dit soort oplossing werkt alleen voor hosting, bijvoorbeeld, niet als u e-mailadressen toevertrouwt voor een e-mailcampagne.

Anderzijds wordt vaak gezegd dat als de servers van het Amerikaanse bedrijf in Europa staan, er geen probleem is. Niets is minder waar. In feite vereist de Amerikaanse wet dat Amerikaanse bedrijven reageren op verzoeken van de autoriteiten, ongeacht de locatie van de servers. 

Laten we niet vergeten dat verschillende gegevensbeschermingsautoriteiten een duidelijke beslissing hebben genomen over Google Analytics, dat nu in Europa verboden is omdat het in strijd is met de GDPR. Andere besluiten zouden kunnen worden genomen met betrekking tot andere Amerikaanse on-linediensten.

Er zijn echter Europese oplossingen die in sommige gevallen de diensten van Amerikaanse bedrijven kunnen vervangen.

In maart 2022 meldden president Biden en de voorzitter van de Europese Commissie dat er een akkoord was bereikt om de gegevenshandel tussen Europa en de VS nieuw leven in te blazen. Er werd echter geen tekst voorgesteld en pas in oktober 2022 ondertekende president Biden een Executive Order en kondigde de Europese Commissie aan te werken aan een adequaatheidsbesluit, waardoor de VS zouden worden erkend als een land waarvan de wetgeving zou worden gelijkgesteld met de GDPR.

Voor het formaliseren van het matchingsbesluit moeten immers verschillende stappen worden ondernomen:

• het advies inwinnen van het Europees Comité voor gegevensbescherming
• het Europees Parlement zal deze kwestie waarschijnlijk behandelen
• zal de Europese Raad zijn goedkeuring moeten geven

En dus zal het in het beste geval medio 2023 zijn voordat deze stappen worden genomen, als ze al worden genomen.

Inderdaad, RGPD specialisten zijn unaniem! Het uitvoeringsbesluit van president Biden gaat niet in op alle kritiek van het Hof van Justitie en het is waarschijnlijk dat deze nieuwe overeenkomst tussen de EU en de VS opnieuw door het Hof nietig zal worden verklaard, waardoor de huidige rechtsonzekerheid zou worden verlengd.

Als er Europese oplossingen bestaan, en dat worden er steeds meer, raden wij u aan voor deze oplossingen te kiezen. Wanneer u geen gelijkwaardige Europese oplossingen kunt vinden, is het minimum om uw beslissing om voor een Amerikaanse oplossing te kiezen te documenteren en de gegevensoverdracht tot een minimum te beperken.