Column


Column Friederike van der Jagt

Vakantieleesvoer: het EU/U.S. Privacy Shield

U kent het gevoel vast. Dit jaar had u zich voorgenomen om met een opgeruimd bureau en een lege mailbox op vakantie te gaan. Lekker de telefoon uit en even bijkomen. Maar helaas; zoals altijd komt er in die laatste weken voor de vakantie toch weer een aantal spoedklussen bij. Weet men dat u op het punt van vertrekken staat, dan zou men daar zelfs misbruik van kunnen maken. Onder druk wordt immers alles vloeibaar en is de bereidheid tot het doen van concessies vaak aanzienlijk groter…

Bovenstaand patroon vertoont een gelijkenis met de totstandkoming van het nieuwe EU/U.S. Privacy Shield dat op de valreep voor het zomerreces van de Europese instellingen het levenslicht zag. Voor de lezer bij wie dit niet direct een belletje doet rinkelen: het EU/U.S. Privacy Shield is simpel gezegd een nieuw akkoord dat het mogelijk maakt voor Europese bedrijven om persoonsgegevens door te geven naar Amerikaanse bedrijven die zich hebben gecommitteerd aan de privacybeginselen die in het EU/U.S. Privacy Shield zijn neergelegd. Persoonsgegevens mogen namelijk niet zomaar worden doorgegeven naar landen buiten de Europese Unie.

De achtergrond hiervan is dat wij in de Europese Unie een sterke privacybescherming kennen. Als jouw persoonsgegevens worden verwerkt, moet je ervan uit moeten kunnen gaan dat deze bescherming gehandhaafd wordt, ook als het bedrijf aan wie je jouw persoonsgegevens verstrekt, besluit om deze door te geven aan een partij buiten de Europese Unie. Er moet steeds een ‘passend beschermingsniveau’ worden geboden. De Europese Commissie kan beslissen dat een land of een bepaalde sector in een land een dergelijk niveau biedt. 

Ik hoor u denken: waarom hebben we een specifieke regeling nodig voor de VS? Kan de Europese Commissie de VS niet gewoon aanmerken als een land met een ‘passend beschermingsniveau’? Dit is echter lastig omdat de VS geen algemene nationale privacywetgeving kent. Veel staten kennen eigen regels. Daarnaast zijn voor de verwerking van bepaalde gegevens, zoals medische gegevens, specifieke wetten opgesteld. Van een algemeen ‘passend beschermingsniveau’ kan dus niet worden gesproken.

Safer Harbor Principles 
Om de doorgifte van persoonsgegevens te vergemakkelijken, werden de zogenaamde Safe Harbor Principles opgesteld. Dit was een systeem dat het mogelijk maakte om aan Amerikaanse bedrijven die zich aan bepaalde privacybeginselen hielden, persoonsgegevens door te geven zonder extra papierwerk (zoals het sluiten van Europese standaardcontracten die de doorgifte naar de VS eveneens mogelijk maken). De Europese Commissie besloot namelijk dat dergelijke bedrijven een ‘passend beschermingsniveau’ boden. 

De Snowden-onthullingen over het gesnuffel in Europese gegevens door de Amerikaanse National Security Agency leidden echter tot de conclusie dat van een ‘passend beschermingsniveau’ geen sprake was. Via een rechtszaak die was aangespannen door de Oostenrijkste student Max Schrems, werd de Safe Harbor-beschikking van de Europese Commissie ongeldig verklaard.

Bedrijven zaten niet te wachten op extra papierwerk dus al gauw werden onderhandelingen gestart om tot een nieuw akkoord te komen. Op 12 juli jongstleden heeft de Europese Commissie het nieuwe akkoord, het EU/U.S. Privacy Shield, officieel goedgekeurd. Vanaf 1 augustus aanstaande kunnen Amerikaanse bedrijven zichzelf via het EU/U.S. Privacy Shield certificeren.

Veel kritiek 
Zoals u in mijn eerdere columns heeft kunnen lezen, was er veel kritiek op de eerste versie van het EU/U.S. Privacy Shield, dat in februari gepubliceerd werd. Met name het feit dat wel werd uitgelegd hoe de inlichtingdiensten in de VS werken, maar massasurveillance van Europese burgers door de Amerikaanse inlichtingendiensten niet werd uitgesloten, stuitte op veel kritiek.

In de finale versie van het akkoord heeft de VS dit punt van zorg volgens de Europese Commissie weggenomen doordat ‘ondifferentiërende massasurveillance’ wordt uitgesloten. Ook is de toegang tot de gegevens aan ‘duidelijke beperkingen, waarborgen en toezichtsmechanismen’ onderworpen. Tegenstanders menen echter dat dit niet het geval is, met name omdat veel zaken subjectief kunnen worden uitgelegd (of te wel: zoals het de VS uitkomt).

Lang leven beschoren? 
Het is dan ook geenszins zeker dat het nieuwe EU/U.S. Privacy Shield een lang leven beschoren is. De Artikel 29 Werkgroep (het advies- en overlegorgaan van Europese privacytoezichthouders) heeft al aangekondigd dat zij de stukken zal bestuderen en met een gezamenlijk standpunt zal komen. Indien zij van mening is dat het EU/U.S. Privacy Shield geen passend beschermingsniveau biedt, kunnen stappen worden ondernemen om het Europese Hof van Justitie hierover een oordeel te laten geven. Ook zou het zo kunnen zijn dat er weer een individuele zaak à la Schrems aanhangig wordt gemaakt, waarin de geldigheid van de beslissing van de Europese Commissie in twijfel wordt getrokken.

Het is de vraag of de juridische onzekerheid over het al dan niet in stand blijven van het EU/U.S. Privacy Shield gevolgen heeft voor het aantal Amerikaanse bedrijven dat zich eraan committeert. Waarom nu veel tijd (en geld) stoppen in iets dat wellicht de juridische toets niet kan doorstaan?

Oordeel zelf 
Neem de Commissie-beslissing, maar zeker ook de annexen waarin de privacybeginselen en uitleg van de Amerikaanse autoriteiten over massasurveillance zijn opgenomen, vooral mee op vakantie en oordeelt u zelf. Geen gemakkelijk leesvoer, ik geef het toe, maar mocht u er niet doorheen komen, dan komen de stukken vast van pas bij het aanmaken van de bbq... Ik wens u een fijne vakantie! 

PS Als u geen ruimte meer heeft in de koffer: een samenvatting van een pagina vindt u hier


Aankomende maandag bespreekt IT-jurist Peter van Schelven op SecurityVandaag wat zelfcertificering onder het EU-U.S. Privacy Shield inhoudt. 

Lees meer over