De Europese Commissie heeft op 10 juli jl. met onmiddellijke werking een zogenaamd adequaatheidsbesluit vastgesteld op basis van het tussen de EU en de VS gesloten EU-USA Data Privacy Framework. Dit adequaatheidsbesluit betekent dat bedrijven in de EU voorlopig op basis van dit Framework persoonsgegevens met organisaties in de VS kunnen uitwisselen.
Het is goed dat er voor de komende periode duidelijkheid is gegeven. Maar de vraag is wel hoe lang deze duidelijkheid duurt. Want Schrems heeft aangekondigd begin 2024 de procedure Schrems III bij het Europese Hof aanhangig te zullen maken. Met als doel dit adequaatheidsbesluit van de Europese Commissie nietig te laten verklaren. Schrems heeft de afgelopen jaren via Schrems 1 en Schrems II de eerdere adequaatheidsbesluiten “Safe Harbour” en “Privacy Shield” door het Europese Hof onderuit laten halen.
Volgens Schrems verschilt dit nieuwe adequaatheidsbesluit nauwelijks van het Privacy Shield. “Insanity is doing the same things over and over again and expecting different results” aldus Schrems als reactie op het adequaatheidsbesluit.
Ik en diverse andere privacy experts verwachten dat het Data Privacy Framework geen lang leven beschoren zal zijn. Maar voor nu is er in ieder geval een juridisch kader waarbinnen bedrijven persoonsgegevens kunnen uitwisselen met in de Verenigde Staten gevestigde organisaties die zijn aangesloten bij het Framework. Dit Framework heeft inmiddels een website met een lijst van bij het Framework aangesloten organisaties.