Wat gebeurt er met de Brits-Amerikaanse gegevensprivacyovereenkomst? ISMS.online

Wat gebeurt er met de Brits-Amerikaanse gegevensprivacyovereenkomst?

Door Danny Bradbury • 17 februari 2023

In 1858, toen ingenieurs de eerste communicatiekabel tussen Groot-Brittannië en de VS aanlegden, bestond de grote uitdaging erin de telegraafsignalen van de landen door één enkele draad te persen. Sindsdien hebben de publieke en private sector duizenden kilometers glasvezelkabel onder de Atlantische Oceaan aangelegd, die terabits aan data per seconde overdraagt. Tegenwoordig zijn de obstakels voor de transatlantische gegevensuitwisseling niet van technologische aard, maar van juridische aard.

De EU heeft tweemaal privacyregels opgesteld voor de uitwisseling van gegevens over haar burgers met de VS, die ook het Verenigd Koninkrijk als EU-lid beheersten. Nadat beide illegaal waren verklaard, ging het blok over tot de oprichting van een derde. Drie jaar na het verlaten van Europa onderhandelt Groot-Brittannië over een eigen adequaatheidsovereenkomst met de VS. Hoe gaat dat?

Hoe zijn we hier gekomen?

De EU en de VS hebben hun Privacy Shield-overeenkomst inzake de toereikendheid van gegevens in 2016 opgesteld na een succesvolle juridische uitdaging van hun oorspronkelijke Safe Harbor-overeenkomst. Dankzij het Privacy Shield konden Amerikaanse bedrijven zichzelf certificeren bij het Amerikaanse ministerie van Handel om gegevens van Europese bedrijven te ontvangen.

Nadat hij Safe Harbor had aangevochten, heeft de Oostenrijkse advocaat Max Schrems het Privacy Shield opnieuw voor de rechtbank aangevochten, en het Hof van Justitie van de Europese Unie (HvJ-EU) heeft het in juli 2020 ongeldig verklaard. Sindsdien moeten Britse bedrijven die gegevens willen uitwisselen met de VS vertrouwen op over standaardcontractbepalingen (SCC's). Deze overeenkomsten tussen bedrijven maken gegevensuitwisseling mogelijk, maar vereisen meer werk om te implementeren. Groot-Brittannië heeft dat wel gedaan vervangen SCC's met zijn International Data Transfer Agreement (ITDA), hoewel het mensen nog steeds toestaat EU-SCC's te gebruiken door een speciaal Brits addendum toe te passen.

SCC's en ITDA's kunnen ad hoc bilaterale gegevensuitwisseling tussen organisaties ondersteunen, maar een standaard intergouvernementele overkoepelende overeenkomst zou de zaken voor bedrijven gemakkelijker maken. De race is dus begonnen om een alternatief voor Privacy Shield te bedenken.

Een overeenkomst tussen Groot-Brittannië en de VS uitbroeden

Groot-Brittannië heeft parallel met de EU met de VS gewerkt aan een eigen regeling voor de toereikendheid van gegevens. Het gaf een gezamenlijke verklaring over dit plan met de VS afgelopen augustus, waarbij grensoverschrijdende datastromen worden gebundeld samen met tal van technologie-initiatieven, variërend van telecomdiversiteit tot kwantumcomputing.

Het Britse Department for Digital, Culture, Media & Sport (DCMS) doorloopt vier fasen in zijn beoordeling van de toereikendheid van de gegevens met andere landen: gatekeeping, beoordeling, aanbeveling en procedureel. Gatekeeping is wanneer het ministerie besluit of er überhaupt een beoordeling van de toereikendheid van een land moet worden gestart. Tijdens een beoordeling verzamelt en interpreteert het gegevens over het betreffende land op basis van een standaardsjabloon voordat het een aanbeveling doet aan de minister van Buitenlandse Zaken. De secretaris overlegt vervolgens met het Information Commissioner's Office (ICO) over de vraag of de geschiktheid moet worden vastgesteld. Zodra dat stadium voorbij is, produceert het ministerie wetgeving in het parlement.

De DCMS biedt geen specifieke datum voor de voltooiing van dat proces voor de adequaatheidsovereenkomst tussen Groot-Brittannië en de VS, maar heeft wel een lange weg afgelegd. Afgelopen oktober hebben zowel de EU als het Verenigd Koninkrijk de adequaatheidsonderhandelingen met de VS een stap voorwaarts gezet toen het Witte Huis een Executive Order uitvaardigde over het verbeteren van de waarborgen voor de Amerikaanse signaalinlichtingendienst. Het beloofde een Data Protection Review Court op te richten dat Britse en EU-burgers een manier zou geven om elk gebruik van hun gegevens door de Amerikaanse autoriteiten te betwisten.

Dit verheugde de DCMS, die in een verklaring de Amerikaanse stap prees en beloofde begin dit jaar adequate regelgeving voor het Parlement op te stellen. In januari gaven de Britse minister van Buitenlandse Zaken voor de DCMS Michelle Donelan en Amerikaanse staatsfunctionarissen op gepaste wijze het startsein voor de bijeenkomst inaugurele vergadering van de alomvattende dialoog over technologie en data tussen de VS en het VK. De twee landen kwamen overeen om “in 2023” een databrug voor datastromen tussen de VS en het VK te voltooien en te implementeren.

Wat gebeurt er nu?

De Amerikaanse adequaatheidsovereenkomst is niet het enige initiatief van Groot-Brittannië. Internationale datastromen maken deel uit van de Nationale Datastrategie. Het kabinet streeft daarnaast naar adequaatheidsafspraken met Australië, de Republiek Korea, Singapore, het Dubai International Financial Centre en Colombia. Deals met India, Brazilië, Kenia en Indonesië staan op de to-do lijst.

Polityczno gerapporteerd dat het in oktober overeengekomen EU-VS TransAtlantic Data Privacy Framework de EU ongeveer zes maanden zou kosten om te implementeren. Dat betekent dat we het ergens volgende maand verwachten. Groot-Brittannië zou zijn juridische eenden op één lijn kunnen brengen voordat het de Amerikaanse adequaatheidswetgeving in het parlement laat vallen. Toch zal het hopelijk niet veel langer duren voordat het zich kan aanpassen aan de aankondiging van de EU.

Totdat ze die details zien, kijken advocaten naar het Executive Order voor advies. Noyb.eu, de non-profit privacygroep die Schrems heeft opgericht, heeft dat al gedaan geuite zorgen over een gebrek aan privacybescherming voor EU-burgers in dat document. De organisatie heeft het bekritiseerd omdat het zwakker is dan GDPR en ruimte laten voor Amerikaanse inlichtingendiensten om het grootschalige toezicht voort te zetten. Deze kritiek suggereert dat er juridische problemen kunnen ontstaan voordat de overeenkomst zelfs maar wordt aangenomen.

De Britse regering, die dat al is planning het vertrek van de AVG met zwakkere regels voor gegevensbescherming maakt zich misschien niet zoveel zorgen over deze kwesties, maar de tegenstanders zijn dat misschien wel. Terwijl gegevens slechts milliseconden nodig hebben om de oceaan over te steken, duren juridische en politieke machinaties iets langer.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury