Column


Column Friederike van der Jagt

E.U./U.S. Privacy Shield: gouden schild of scheermesje?

Een bekende fabrikant van scheermesjes probeert zich momenteel te onderscheiden op de markt door de invoering van een prachtig gouden schild. Ik geef toe, de scheermesjes zien er aantrekkelijk uit, maar of er nu daadwerkelijk iets aan de scheerprestatie veranderd is, blijft vaag.

Vanwaar mijn interesse in deze scheermesjes? Nou, ik moest meteen aan de reclamecampagne van de desbetreffende producent denken toen ik de opinie van de Artikel 29 Werkgroep (het advies- en overlegorgaan van Europese privacytoezichthouders) las over het tussen de Europese Commissie en de Amerikaanse overheid bereikte akkoord over het E.U.-U.S. Privacy Shield.

Nadat ik mijn vorige column met een cliff hanger had beëindigd, ben ik u uiteraard nog een korte uitleg verschuldigd over de inhoud van het E.U./U.S. Privacy Shield. Het E.U./U.S. Privacy Shield is bedoeld om het mogelijk te maken dat Europese bedrijven persoonsgegevens zonder extra papierwerk kunnen doorgeven aan Amerikaanse bedrijven, indien die zich aan bepaalde Principles committeren. Klinkt bekend maar dat komt omdat het E.U./U.S. Privacy Shield bedoeld is om het Safe Harbor-verdrag te vervangen, dat ook met dergelijke beginselen werkte. Dit verdrag werd in oktober 2015 door het Europese Hof van Justitie ongeldig verklaard, onder meer omdat de Amerikaanse autoriteiten zichzelf een bijna onbeperkt recht tot toegang tot communicatie toekenden. Indien zij namelijk konden aantonen dat toegang tot de gegevens nodig was in het kader van de ‘nationale veiligheid’, het ‘algemene belang’ of de ‘nationale wetgeving’, dan kon men erbij. Hierdoor konden enorme hoeveelheden data van Europese burgers worden verzameld, zonder dat duidelijk was waarom dit nodig was en zonder dat Europa zich daartegen konden verzetten. Al in 2013 werden door de Europese Commissie, naar aanleiding van de Snowden-onthullingen, aanbevelingen gedaan om de privacybescherming onder het Safe Harbor verdrag te versterken. Door de ongeldigverklaring van het verdrag door het Hof kwamen de VS en Europa onder druk te staan van niet alleen privacyvoorvechters, maar ook van bedrijven om nu toch echt snel tot een oplossing te komen.

Nu is er dus het E.U./U.S. Privacy Shield. De nieuwe regels zorgen er volgens de Europese Commissie voor dat bedrijven zich niet meer simpelweg kunnen certificeren, maar dat er ook streng wordt toegezien op de naleving van de beginselen waaraan deze bedrijven zich committeren. Zo kunnen sancties worden opgelegd en worden lijsten gepubliceerd met bedrijven die zich niet aan de regels houden. Daarnaast krijgen Europese burgers verschillende mogelijkheden om actie te ondernemen tegen Amerikaanse bedrijven die zich niet aan de regels houden. Bedrijven moeten klachten van burgers binnen 45 dagen afhandelen maar burgers kunnen ook bij hun eigen privacytoezichthouder terecht en uiteindelijk staat als laatste redmiddel arbitrage open. Voor klachten over de gegevensverwerkingen door de Amerikaanse inlichtingendiensten wordt een speciale Ombudsman in het leven geroepen. Jaarlijks zullen de EU en de US gezamenlijk de gemaakte afspraken evalueren en controleren.

Te ingewikkeld
Zijn nu alle eerdere privacybezwaren als sneeuw voor de zon verdwenen? Daar hoopte de Europese Commissie – ik denk tegen beter weten in – in ieder geval wel op. Zo lezen we in randnummer 128 van de concept-beschikking waarmee de Europese Commissie officieel wil vastleggen dat bedrijven die voldoen aan het E.U./U.S. Privacy Shield, hiermee een passend beschermingsniveau voor de persoonsgegevens bieden, het volgende: “The Working Party on the Protection of Individuals with regard to the Processing of Personal Data established under Article 29 of Directive 95/46 has delivered a favourable opinion on the adequate level provided by the United States for personal data transferred under the E.U./U.S. Privacy Shield from the European Union to self-certified organisations in the United States”. Het staat nog tussen haken, maar inmiddels is het duidelijk dat dit wel een zeer rooskleurige uitleg zou zijn van de opinie die op vrijdag 15 april jl. door de Artikel 29 Werkgroep wordt afgegeven.

De Artikel 29 Werkgroep is namelijk kritisch over het bereikte akkoord. Allereerst vinden ze regels lastig te vinden: een deel van de regels staat in de commissie-beschikking, een ander deel in bijlagen van de Amerikaanse overheid. Ook zijn de stukken niet altijd consistent. Daarnaast zijn de toezichthouders bang dat de klachtprocedures voor Europese burgers veel te ingewikkeld zijn. Onduidelijkheid bestaat over belangrijke definities zoals doelbinding en toegang tot gegevens en er zijn geen duidelijke afspraken over bewaartermijnen gemaakt. De jaarlijkse controle wordt toegejuicht, maar dan moet wel nu worden uitgewerkt wat deze controle precies inhoudt. Dit lijken allemaal zaken die op te lossen zijn, maar dan komt het grote punt: de verzameling van persoonsgegevens door de inlichtingendiensten: hoewel er veel uitleg wordt gegeven over hoe de inlichtingendiensten werken, wordt door de voorgestelde maatregelen niet uitgesloten dat massasurveillance van Europese burgers plaatsvindt. Een dergelijke verwerking van gegevens is niet proportioneel en kan de noodzakelijkheidstoets niet doorstaan. Tot slot is de Ombudsman waarbij burgers kunnen klagen, onvoldoende onafhankelijk en heeft hij niet genoeg bevoegdheden om zijn taken uit te oefenen. Of te wel: het scheermesje heeft dan wel een mooi gouden schild gekregen, maar het probleem dat daarmee moest worden opgelost, is niet getackeld. De Artikel 29 Werkgroep raadt dan ook aan om nog wat extra mesjes toe te voegen.

Europese rechter
Wat betekent dit voor de voortgang van het reeds bereikte akkoord? De Opinie van de Artikel 29 Werkgroep is niet bindend. De Europese Commissie wil graag op korte termijn de conceptbeschikking definitief maken. Als dat gebeurt zonder dat aandacht wordt besteed aan bovenstaande bezwaren, is de kans groot dat uiteindelijk de Europese rechter zal bepalen dat we hier dan wel met een mooi, maar toch met een wegwerpscheermesje te maken hebben...


Lees meer over