Veilige Hawe-oorsig beteken sake soos gewoonlik - vir nou

Veilige Hawe-oorsig beteken sake soos gewoonlik – vir nou

Deur Danny Bradbury • 7 Oktober 2025

September was 'n keerpuntmaand vir maatskappye in Europa wat data met die VSA wou deel. Die Algemene Hof van die Europese Unie het 'n betwisting van 'n privaatheidsraamwerk tussen die twee lande verwerp. Dit beteken dat Amerikaanse organisasies kan voortgaan om persoonlike data uit die EU in te voer.

Die uitdaging teen die EU-VSA Data Privacy Framework (DPF) het gekom van die Franse parlementslid Philippe Latombe. Hy was ontevrede met die besonderhede van die Raamwerk, wat 'n wettige pad vir duisende Amerikaanse maatskappye bied om EU-persoonlike data oor te dra. Hy het 'n EU-besluit om die DPF toe te laat om te funksioneer, op twee gronde betwis.

Eerstens het hy beweer dat die Amerikaanse Data Privaatheidshersieningshof (DPRC) nie onafhanklik of onpartydig was nie. Hierdie hof, wat deur die Raamwerk gemandateer is, is 'n liggaam wat deur die VSA bedryf word en enige klagtes van EU-inwoners oor die behandeling van hul data hersien. Hy het ook gekla dat die Amerikaanse intelligensie-agentskappe se insameling van grootmaatdata sonder vooraf goedkeuring deur die hof die EU se Handves van Fundamentele Regte skend.

Dit was nie die eerste keer dat die EU uitdagings rakende privaatheidsraamwerke teëgekom het nie. Prokureur Max Schrems het reeds twee pogings tot ekwivalensieraamwerke tussen die EU en die VSA betwis.

Schrems het sy eerste klag in 2013 ingedien, waarin hy Facebook se Amerikaanse data-oordragte onder Safe Harbor betwis het, op grond van Edward Snowden se NSA-moniteringsonthullings. Die Schrems I-uitspraak van Oktober 2015 het Safe Harbor heeltemal ongeldig gemaak en bevind dat Amerikaanse moniteringswette inmenging toegelaat het verder as wat "streng noodsaaklik" was.

Die EU en die VSA het weer probeer met Privacy Shield, wat Safe Harbor in 2016 vervang het, maar Schrems het onmiddellik beide die nuwe raamwerk en Standaard Kontraktuele Klousules betwis en aangevoer dat die onderliggende Amerikaanse toesigowerhede onveranderd gebly het. Die Schrems II-besluit van Julie 2020 het Privacy Shield ongeldig gemaak terwyl dit Standaard Kontraktuele Klousules (SCC's) gehandhaaf het, wat EU-ooreenkomste is wat organisasies kan gebruik om data-oordragte te magtig. Dié vereis Oordrag-Impakstudies (TIA's) wat vereis dat maatskappye hul eie omsigtigheidsondersoek doen oor of EU-data in die bestemmingsland beskerm sal word.

'n Versuim om die Hof te oortuig

As Latombe in sy aanvanklike uitdaging geslaag het, sou dit maatskappye teruggeplaas het in die omslagtige wêreld van standaardkontrakteringskomitees (SCC's). Die hof het egter nie met hom saamgestem nie. Regters kan slegs deur die Prokureur-generaal in die hof aangestel word, het dit aangevoer en beslis dat dit by die definisie van onafhanklikheid pas. Dit het ook bygevoeg dat grootskaalse howe nie vooraf goedkeuring vir grootskaalse invordering onder Schrems II vereis nie. In plaas daarvan, het dit gesê, ex post (na die tyd) is magtiging genoeg. Die DPRC voorsien dit reeds.

Dit alles dui daarop dat die beskermings onder Amerikaanse wetgewing "wesenlik gelykstaande" is aan dié onder Europese wetgewing, volgens die uitspraak, volgens die Aankondiging van die Hof van Justisie van die EU.

Dit is nie verby totdat dit verby is nie

So, wat beteken dit vir die status quo? Oppervlakkig gesien, dui dit daarop dat Amerikaanse besighede straffeloos kan voortgaan om EU-burgers se data daarheen oor te dra. Maar moenie die wetboeke nou eers opsy skuif nie; daar is reeds verdere regsuitdagings in die werk wat daarop dui dat dit nog nie verby is nie.

NOYB (Schrems se organisasie, wat staan vir “None Of Your Business”) voer aan dat die DPF bloot dieselfde toesigbevoegdhede herverpak wat die Hof van Justisie van die EU twee keer verwerp het. “Die beskermings kragtens die nuwe ooreenkoms is amper 1:1 'n kopie/plak van die vorige ooreenkomste wat die Hof van Justisie van die EU onwettig bevind het in Schrems I en Schrems II,” het dit gesê. “In sommige elemente is die beskermings selfs erger as in die ouer Uitvoerende bevel wat nie voldoende was vir die Hof van Justisie van die EU nie. Dit is dus verbasend dat die Algemene Hof 'n ander beslissing oor die derde weergawe van die EU-VSA-ooreenkoms sou uitreik in vergelyking met die vorige twee weergawes.”

Latombe kan nou appelleer, met 'n indieningsdatum van middel November vanjaar. Met privaatheidsvoorstanders wat die uitspraak kritiseer, is dit waarskynlik dat die DPF verdere aanvalle in die gesig sal staar.

Met dit in gedagte, sal organisasies goed doen om 'n gelaagde benadering tot data-oordrag te volg as die mees wetlik veerkragtige strategie, sê prokureurs. Bindende Korporatiewe Reëls (BCR's) speel ook hier 'n rol. Dit is ooreenkomste wat maatskappye met reguleerders sluit om data binne hul eie kantore oor nasionale grense heen oor te dra.

"Vir nou bly die DPF 'n geldige en vaartbelynde pad vir die oordrag van persoonlike data van die EU na die VSA," verduidelik die regsfirma Clifford Chance. “Bou daaromheen, hou SCC/BCR-speelboeke gereed, verfris die Oordrag-Impakassesserings (verwys na EO 14086 en die DPRC waar relevant), en monitor beide die appèl- en Amerikaanse toesiglandskap,” het die maatskappy aangeraai.

In 2021 het die Europese Raad vir Databeskerming (EDPB) ook gepubliseerde leiding oor wat data-uitvoerders kan doen om EU-databeskerming te handhaaf wanneer hulle data na ander lande uitvoer. Hierdie dokument adviseer uitvoerders om hul data-oordragte volledig te dokumenteer en die oordraginstrument wat hulle gebruik kragtens Artikel 46 van die AVG te verifieer. Benewens SSC's en BCR's, sluit ander sulke instrumente gedragskodes, sertifiseringsmeganismes en ad hoc-kontraktuele klousules in. Hulle moet ook die wetgewing van die bestemmingsland assesseer indien daar geen toereikendheidsooreenkoms in plek is nie. Dit adviseer ook oor aanvullende maatreëls, soos enkripsie van die data, met sleutels wat in die EU behou word.

So dit gaan voort soos gewoonlik vir nou, maar risikobestuursverantwoordelikhede vereis 'n rugsteunplan. Met 'n chaotiese regering in die weste en die gevaar van verdere regsuitdagings in Europa, moet maatskappye nie heeltemal op die DPF staatmaak nie.

Danny Bradbury

Danny Bradbury is 'n gedrukte joernalis wat spesialiseer in tegnologie sedert 1989 en 'n vryskutskrywer sedert 1994. Hy het vir nasionale publikasies aan beide kante van die Atlantiese Oseaan geskryf en het toekennings gewen vir sy ondersoekende kuberveiligheidsjoernalistiekwerk.

Lees meer van Danny Bradbury

cyber Security 23 Oktober 2025

waarom die ftc se kletsbot-ondersoek b2b-maatskappye moet bekommer

Waarom die FTC se Chatbot-ondersoek B2B-maatskappye moet bekommer

September was 'n keerpunt vir voorstanders van KI-etiek. Die FTC het Artikel 6(b)-bevele uitgereik aan sewe groot tegnologiemaatskappye wat kletsbotte vervaardig...

Danny Bradbury

cyber Security 23 September 2025

Wanneer Legacy-stelsels misluk: Lesse uit die Federale Hof se Oortreding

Kuber-aanvalle gebeur elke dag, maar sommige is veral ontstellend. 'n Aanval hierdie somer op die Amerikaanse hofstelsel moes elke sekonde rillings laat afsak het...

Danny Bradbury

cyber Security 9 September 2025

Wat die Amerikaanse KI-aksieplan beteken

Die Withuis het in Julie 'n omvattende KI-aksieplan onthul wat Amerika se benadering tot die bestuur van KI hervorm. Dit is 'n groot verandering van die...

Danny Bradbury