Ter herinnering: in juli 2020 verklaarde het Hof van Justitie van de EU het Privacy Shield, een cruciaal mechanisme voor gegevensoverdracht tussen de Europese Unie en de Verenigde Staten, ongeldig. Met andere woorden, het biedt niet langer voldoende rechtsbescherming en bedrijven die gegevens doorgeven in het kader van hun activiteiten, bevinden zich dus in een onaanvaardbare rechtsonzekerheid.

We mogen niet vergeten dat Europa van gegevensstromen afhangt. Talrijke Europese bedrijven geven, rechtstreeks of onrechtstreeks, gegevens door voor hun ontwikkeling in Europa of op wereldvlak. Het gaat zowel over consumenten die via hun bankrekening producten of diensten kopen, over gegevens inzake medisch onderzoek en – actueler kan haast niet – over leveranciers die samenwerken om de gezondheidscrisis te overwinnen. De overdrachten belangen iedereen aan, op ontelbare vlakken: personeelsverantwoordelijken die de lonen van werknemers uitbetalen, landbouwhandelaars die de voedselbevoorradingsketen ondersteunen, reizigers die een vlucht boeken, werkzoekenden die solliciteren, fabrikanten die waarde creëren in de industriële waardeketens, kmo’s die een marketingcampagne opstarten voor een nieuw merk, verzekeraars die klachten van klanten beheren, experts die statistieken analyseren om overheidsdiensten te ondersteunen, noem maar op. Zelfs de eenvoudigste taken, zoals het verzenden van een e-mail, maken gebruik van grensoverschrijdende gegevensstromen.

Onbruikbare alternatieven

Europese bedrijven die gegevens aan de Verenigde Staten doorgeven, moeten dus alternatieven zoeken voor het Privacy Shield, zoals de standaardcontractbepalingen van de Europese Commissie, of bindende bedrijfsregels binnen een bedrijvengroep.

Het is in bepaalde gevallen echter moeilijk om die alternatieven snel en doeltreffend in te voeren en zelfs vaak onmogelijk om ze te gebruiken.

Zo moeten bedrijven nu ook nagaan dat die contractbepalingen en bedrijfsregels daadwerkelijk een gepast beschermingsniveau garanderen (vereiste assessment). Indien dat niet het geval is, moeten ze bijkomende maatregelen nemen. En die bijkomende maatregelen, die het risico moeten beperken dat een regering van een derde land toegang krijgt tot de gegevens, zijn bijna steeds moeilijk te organiseren, ongeacht of ze van contractuele en/of technische aard zijn (anonimiseren, versleutelen, pseudonimiseren).

Naast de hardnekkige problemen waarin een groot aantal bedrijven zich bevinden en de juridische risico’s die ze lopen, zou dit gebrek aan een eenvoudige en doeltreffende oplossing voor de overdracht van gegevens naar de Verenigde Staten niet enkel gevolgen kunnen hebben voor de mogelijkheden van Europa om een rol te spelen op internationale markten, maar ook omgekeerd, voor de investeringen in de Europese markt zelf en het vermogen om de diensten en producten te bieden die de Europeanen vragen.

Ondanks de inspanningen van tal van Europese spelers zoals het EDPB, de lidstaten en de Belgische Gegevensbeschermingsautoriteit, lijkt Europa nog lang geen realistische structurele oplossing te kunnen bieden voor het probleem en de onzekerheid die het met zich meebrengt. Zolang Europa niet met een redelijke oplossing komt om tot hetzelfde resultaat te komen als het Privacy Shield, moeten de ondernemingen dus beschermd worden.

Bedrijven beschermen tegen eventuele sancties

Bedrijven moeten op heel korte termijn een duidelijk rechtskader hebben en gegevens kunnen blijven verwerken en doorgeven. Dat moet kunnen in overeenstemming met de GDPR en in alle rechtszekerheid, zelfs zonder ‘adequacy decision’ of Privacy Shield.

Het VBO vraagt dus dat de Belgische en Europese overheden hun verantwoordelijkheid nemen. De EU en de Verenigde Staten moeten dringend en snel onderhandelen over een nieuw Privacy Shield. Zolang dat nieuwe Privacy Shield er niet is en er geen structureel alternatief bestaat voor dat mechanisme, is het essentieel dat ondernemingen normaal kunnen functioneren met de bestaande middelen.

Het VBO pleit dus voor de invoering van een overgangsperiode of voor de invoering van een mechanisme, welk dat ook mag zijn, om de ondernemingen die gegevens uitvoeren te beschermen tegen eventuele sancties.