Waarom het tijd is om de voordelen van de Brits-Amerikaanse databrug te benutten

Door Phil Muncaster • 2 November 2023

Eind september maakte de Britse regering dit bekend een nieuw adequaatheidsakkoord met de VS, ontworpen om meer naadloze grensoverschrijdende gegevensstromen mogelijk te maken. In theorie zal dit ervoor zorgen dat de persoonlijke gegevens van Britse burgers die door Amerikaanse bedrijven worden opgeslagen, nog steeds hetzelfde niveau van GDPR-bescherming zullen behouden als wanneer deze in Groot-Brittannië of de EU-landen zouden verblijven. Misschien nog belangrijker voor bedrijven is dat deze zogenaamde “Brits-Amerikaanse databrug” bedrijven moet helpen hun nalevings- en regeldruk te verminderen.

Wat is de databrug?

De databrug tussen Groot-Brittannië en de VS is in feite een verlengstuk van de nieuwe EU-VS-kader voor gegevensprivacy (DPF), dat zelf de opvolger is van het EU-VS-privacyschild dat de EU-rechtbanken hebben opgeheven na het Schrems II-arrest van juli 2020. Het heeft tot doel rechtszekerheid te bieden aan organisaties die persoonsgegevens willen overdragen die onder de wet vallen. GDPR en Britse AVG naar de VS op een manier die volledig in overeenstemming is met de gegevensbeschermingswetten van de EU en het VK.

Het zal de meer logge methoden voor de overdracht van gegevens van Groot-Brittannië naar de VS vervangen, zoals via de Britse versie van de standaardcontractbepalingen, de International Data Transfer Agreement of andere ‘passende waarborgen’ die zijn beschreven in de Britse AVG.

Hoe werkt het?

De nieuwe databrug tussen Groot-Brittannië en de VS zal op vrijwel identieke wijze werken als de DPF tussen de EU en de VS. Sterker nog, Amerikaanse organisaties moeten al meedoen aan de DPF om gebruik te kunnen maken van de databrug. Het zal beschikbaar zijn vanaf 12 oktober 2023, waarbij honderden Amerikaanse bedrijven al hun intentie hebben uitgesproken om deel te nemen.

Amerikaanse organisaties die zijn gecertificeerd onder de DPF kunnen hun certificering eenvoudig uitbreiden tot gegevensoverdrachten vanuit het Verenigd Koninkrijk door de relevante optie te selecteren via hun online DPF-account.

Enkele uitzonderingen

Britse privacytoezichthouder Information Commissioner's Office (ICO) heeft een advies uitgebracht op de databridge, die waarschuwt dat bepaalde categorieën gegevens niet als gevoelig worden behandeld onder de DPF. Daarom moet aan Amerikaanse organisaties die aan de brug deelnemen, het volgende worden benadrukt: zij moeten als gevoelig worden behandeld:

Gegevens over strafbare feiten
Genetische gegevens
Biometrische gegevens die worden gebruikt om een persoon uniek te identificeren
Gegevens over seksuele geaardheid

Wat gebeurt er nu?

Think Osborne Clarkmoeten bedrijven die persoonlijke gegevens van het VK naar de VS willen overdragen:

Begrijp in hoeverre bestaande overeenkomsten met Amerikaanse bedrijven kunnen profiteren van de nieuwe databrug. Daarvoor moet worden gecontroleerd of deze Amerikaanse bedrijven deelnemen of van plan zijn aan de overeenkomst deel te nemen, en ervoor zorgen dat de gegevens die zij doorgeven onder de overeenkomst vallen.
Controleer en update privacyverklaringen, verwerkingsgegevens en contracten.
Blijf de Internationale gebruiken Gegevensoverdrachtovereenkomst of bindende bedrijfsregels waar het VK en de VS databridge is niet mogelijk.

Peter Church, TMT Counsel bij Linklaters, stelt dat de databrug Britse bedrijven een extra stimulans zal geven om zaken te doen met Amerikaanse dienstverleners die zich hebben aangemeld.

“Het stelt Britse bedrijven in staat automatisch te voldoen aan de regels voor internationale gegevensoverdracht, zonder dat er extra stappen nodig zijn, zoals het uitvoeren van een risicobeoordeling. Het brengt ook minimale extra inspanningen van het Britse bedrijfsleven met zich mee, aangezien het grootste deel van de nalevingslasten op de Amerikaanse entiteit rust”, vertelt hij aan ISMS.online.

“Dat gezegd hebbende, zijn er een aantal eigenaardigheden waar Britse bedrijven op moeten letten, zoals de noodzaak om genetische, biometrische, seksuele geaardheid en criminele informatie specifiek als gevoelig te identificeren en te controleren of de Amerikaanse entiteit specifieke HR-toezeggingen heeft gedaan voordat ze worden overgedragen. HR-gegevens.”

Wat betekent het voor bedrijven?

Andere experts zijn ook blij met de nieuwe overeenkomst voor gegevensoverdracht. Ieuan Jolly, partner en voorzitter van de Amerikaanse TMT & Data Solutions Practice van Linklaters, stelt dat het zal helpen “economische kansen te ontsluiten” en sterkere transatlantische banden op te bouwen door te helpen de normen voor gegevensbescherming op één lijn te brengen. Dat is goed nieuws voor een Britse economie gezegd waard jaarlijks meer dan £ 150 miljard en biedt werk aan 1.7 miljoen.

“De deal biedt een niveau van rechtszekerheid waar bedrijven naar verlangen. Met duidelijke richtlijnen en waarborgen voor de grensoverschrijdende overdracht van persoonsgegevens zal het bedrijven in staat stellen met meer vertrouwen te plannen en te opereren. Deze hernieuwde zekerheid is vooral van cruciaal belang voor sectoren die afhankelijk zijn van datagestuurde strategieën, zoals technologie, e-commerce en financiële diensten”, betoogt hij.

“De implicaties van deze overeenkomst voor bedrijven zijn veelzijdig. Ten eerste vereenvoudigt het de nalevingsinspanningen door een gestandaardiseerd raamwerk voor gegevensoverdrachten te bieden, waardoor de regeldruk voor multinationale ondernemingen wordt verminderd. Ten tweede moedigt het aanhoudende investeringen en expansie tussen Groot-Brittannië en de VS aan, omdat bedrijven nu hun weg kunnen vinden data Privacy kwesties naadlooser.”

Juridische uitdagingen in het verschiet

Het is nog steeds onduidelijk of Schrems en zijn juridische team de oorspronkelijke DPF met succes zullen aanvechten. Maar het feit dat de databrug slechts een uitbreiding van de DPF is, zou erop wijzen dat deze alleen geldig zal zijn zolang deze laatste geldig is.

“Als het EU-VS Data Privacy Framework (opnieuw) ongeldig zou worden verklaard door het HvJ-EU, zouden Amerikaanse bedrijven de regeling misschien wel kunnen opgeven en zou de Britse regering de Britse verlenging wellicht moeten beëindigen om de adequaatheidsstatus van het Verenigd Koninkrijk te behouden met betrekking tot de EU”, betoogt Church.

Dat is de reden waarom sommigen hun weddenschappen nog steeds willen afdekken, aldus Osborne Clark: “Sommige bedrijven die persoonlijke gegevens uit Groot-Brittannië overdragen, zoeken misschien nog steeds een gordel-en-braces-aanpak, waarbij ze vertrouwen op zowel de databrug tussen Groot-Brittannië en de VS als op een alternatief. overdrachtsmechanisme (zoals het addendum van de International Data Transfer Agreement), vooral gezien de onzekerheid rond de vraag of het EU-VS Data Privacy Framework (en de Britse uitbreiding daarop) de uitdaging zal kunnen weerstaan.” zo betoogt het.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster