EDPB update rond Privacy Shield 2.0 en onafhankelijkheid GBA

De European Data Protection Board (EDPB) bestaat uit vertegenwoordigers van alle nationale gegevensbeschermingsautoriteiten en komt iedere maand bij elkaar. Ze publiceren na afloop altijd een persbericht over hun meetings, eventuele formele teksten (bijvoorbeeld richtlijnen rond de interpretatie van bepaalde aspecten van de GDPR) volgen meestal niet veel later. Ook deze maand kwam de EDPB bij elkaar en stonden twee interessante topics op de agenda: de recente aankondiging rond een nieuw transatlantisch framework voor de uitwisseling van data (zeg maar Privacy Shield 2.0) en commentaar op het recente wetsvoorstel rond de hervorming van onze eigenste GBA. Wat meestal een droge opsomming is van de meetings en wat schouderklopjes is deze keer echter aanzienlijk interessanter.

Een aankondiging is geen wettelijk kader

Rond de grootschalige aankondiging door Joe Biden en Ursula von der Leyen kon de EDPB enkel benoemen wat iedereen al weet: een persbericht maakt nog geen wettelijk kader, zoals Dasprive ook reeds aankondigde. Uiteraard benoemt de EDPB plichtmatig dat ze het super op prijs stellen dat de VS zulke mooie toezeggingen doet maar dat het toch echt afwachten is op de finale teksten. Dit betekent concreet dat op dit moment nog alle voorwaarden gelden post-Schrems II: Privacy Shield is nog steeds ongeldig, iedereen moet nog steeds aanvullende maatregelen nemen als ze naar de VS exporteren zelfs als je gebruik maakt van SCC’s.

Normaal zou een dergelijk bericht daarmee eindigen, maar deze keer kan zelfs de EDPB zich niet helemaal inhouden. Wie goed leest, ziet een aankondiging van waar de EDPB verwacht dat dit framework tekort gaat schieten in het verlengde van zijn voorgangers:

  • aantoonbaar bewijs dat de verzameling door inlichtingendiensten zich beperkt tot wat proportioneel en noodzakelijk is,
  • de mogelijkheden voor EU ingezetenen om zich écht te kunnen verdedigen wanneer hun gegevens zijn gebruikt door inlichtingendiensten,
  • de wijze waarop het aangekondigde onafhankelijke orgaan dat moet toezien op de naleving ook echt toegang krijgt tot gegevens die noodzakelijk zijn om een oordeel te vellen én ook beslissingen kan nemen die bindend zijn voor inlichtingendiensten.

Ieder van die punten is nog zeer afwachten of het huidige aangekondigde framework daar iets concreets aan doet, maar vooral dat laatste punt is belangrijk. In het vorige Privacy Shield werd er reeds een Ombudspersoon aangesteld die deze taak op zich moest nemen. Reviews door de EDPB en voorganger WP29 toonden echter aan dat die Ombudspersoon louter voor de sier was: ze kreeg geen toegang tot inlichtingendiensten of gegevens om beoordelingen te maken, laat staan dat er bindende beslissingen konden worden genomen.

Kortom, de EDPB geeft hier een duidelijk signaal af dat ook zij verwacht dat het op die punten zal blijven hangen. Dat laatste betekent dan een negatief advies van de EDPB, en een sprint naar het Europees Hof door Max Schrems / Noyb zodra het framework officieel is. Time will tell.

Onafhankelijkheid GBA

De EDPB had er duidelijk zin in deze keer: ze maakt ook nog gehakt van het Belgische wetsvoorstel om de GBA te hervormen. Zoals in het eerdere deel van hun persbericht gaat dat gepaard met de nodige eufemismes maar de strekking is duidelijk: “Zet dit wetsvoorstel zo door en je hebt een probleem.”

De EDPB benoemt in een aparte brief nog eens kort de kernproblemen uit het wetsvoorstel:

  • Halverwege hun mandaat (externe) leden van onderdelen van de GBA ontheffen uit hun functie gaat regelrecht in tegen de onafhankelijkheid van een autoriteit.
  • Extra redenen voor ontslag wanneer men bijvoorbeeld de werking van de GBA ernstig verstoort, bieden eveneens mogelijkheden om “moeilijke” leden te lozen en dus hen potentieel onder druk te zetten.
  • Extra toezicht van het parlement, bijvoorbeeld een vereiste goedkeuring van het strategisch plan van de GBA, gaat opnieuw in tegen het principe van een onafhankelijke autoriteit.
  • De GBA verplichten om voor bepaalde diensten zoals IT, HR en dergelijke gebruik te maken van “shared services” met andere overheidsentiteiten belemmert, je verwacht het niet, de onafhankelijkheid van de GBA.

Is het opgevallen dat het wetsvoorstel vooral de onafhankelijkheid van de GBA ondergraaft? Dat punt rond het disfunctioneren kun je nog begrijpen gelet op de interne soap tussen de directieleden maar een kind kan zien dat zo’n aanpassing ook misbruikt kan worden en de EDPB stipt dat netjes aan.

Dezelfde opmerkingen heeft de GBA overigens ook al gegeven in hun advies op datzelfde wetsvoorstel dus als donderslag bij heldere hemel komt deze feedback van de EDPB ook niet bepaald. (Hopelijk) terug naar de tekentafel dus.