Column


IT-jurist Peter van Schelven over...

Zelfcertificatie: de eerste stap onder het EU-U.S. Privacy Shield

Stel, je bent werkzaam bij een bedrijf dat zijn moedermaatschappij ergens in de Verenigde Staten heeft zitten en in Europa diverse werkmaatschappijen heeft. Of je werkt bij een in Nederland gevestigde vennootschap die met het oog op de Amerikaanse markt tevens in New York kantoor houdt. Wat moet je op juridisch vlak doen als er binnen de groep van bedrijven sprake is van de doorgifte van persoonsgegevens vanuit Europa naar de Verenigde Staten? Het ligt voor de hand dat tussen de Europese en Amerikaanse vestigingen al snel uitwisseling van bijvoorbeeld personeels- en klantengegevens plaatsvindt. Wat doe je dan?

Er bestaan diverse juridische wegen om ervoor te zorgen dat de export van persoonsgegevens naar de Verenigde Staten legaal is. In de praktijk zie ik echter dat er bedrijven zijn die hun ogen sluiten voor het kiezen van een passende juridische bescherming, soms uit onwetendheid of vanwege incompetent management, maar niet zelden ook uit nonchalance of uit angst voor hoge juridische advies- en implementatiekosten. De juridische werkelijkheid op dit gebied is weliswaar zeer complex, maar zij noopt bedrijven wel tot het maken van een keuze uit een mand vol verschillende juridische instrumenten. Voorwaar geen sinecure! 

Finaal akkoord Privacy Shield 
Een van de instrumenten die beschikbaar is gekomen, is te vinden in het veelbesproken EU-U.S. Privacy Shield, een omvangrijke set van spelregels vastgelegd in een document van meer dan 100 pagina’s waaraan de Europese Commissie onlangs – op 12 juli – haar finale akkoord heeft gegeven.

Het Privacy Shield is juridisch zeker niet onomstreden, maar vooralsnog biedt het in de ogen van de Commissie wel de ‘tools’ waarmee je de doorgifte van persoonsgegevens naar de Verenigde Staten juridisch kunt waarborgen. Pas als de Europese rechter ooit de bescherming van persoonsgegevens als benedenmaats bestempelt en een streep door het Privacy Shield zet, zijn we weer terug bij af. 

Voorlopig lijkt het bedrijfsleven dus te kunnen varen op het kompas van het Privacy Shield. Daarbij moet voor ogen worden gehouden dat toepassing van het Privacy Shield geheel op basis van vrijwilligheid gebeurt. Een bedrijf mag dus ook voor een ander juridisch instrument ter bescherming van de privacy van Europese burgers kiezen.

De eerste stap 
Waar begin je mee wanneer je als bedrijf kiest voor toepassing van het Privacy Shield? De eerste stap die in dat geval gezet moet worden, is de zelfcertificatie van het in de Verenigde Staten gevestigde bedrijf of kantoor. Door middel van zelfcertificatie verbind je je als bedrijf publiekelijk aan een groot aantal in het Privacy Shield vastgelegde privacyprincipes. 

Zelfcertificatie geschiedt tegenover het Amerikaanse Department of Commerce. Uit de publieke verklaringen die je als bedrijf tegenover dit ministerie aflegt, moet blijken hoe die principes naar jouw eigen bedrijf toe zijn ‘vertaald’. Als opstap naar de zelfcertificatie is het dus nodig dat je een eigen privacybeleid, toegesneden op jouw bedrijf en op de belangen van de betrokken burgers, hebt ontwikkeld. Het Amerikaanse Department of Commerce heeft inmiddels een korte handleiding met tips en aandachtspunten voor deze zelfcertificatie uitgebracht.

Toezicht 
Een belangrijke consequentie van zelfcertificatie is niet alleen dat de betrokken EU-burgers van wie gegevens worden verwerkt, het in de Verenigde Staten gevestigde bedrijf op naleving ervan kunnen aanspreken. Die bevoegdheid komt ook toe aan de Amerikaanse autoriteiten, zoals de Federal Trade Commission (FTC). Door middel van zelfcertificatie onderwerp je je dus vrijwillig aan Amerikaans overheidstoezicht.

Voor veel Europese burgers met privacyklachten ligt de VS ver weg. Voor een vermeende inbreuk op jouw privacy stap je dan ook niet snel naar een Amerikaanse rechter. Een belangrijk punt in het Privacy Shield is daarom dat bedrijven die voor zelfcertificatie kiezen, verplicht worden om te voorzien in een vorm van onafhankelijke geschilbeslechting door middel van een onafhankelijk orgaan. Als bedrijf moet je dus op voorhand aansluiting zoeken bij een onafhankelijke geschilleninstantie.

Onward transfer agreements 
Zelfcertificatie is vanaf 1 augustus aanstaande mogelijk. Zelfcertificatie heeft een geldigheidsduur van één jaar en kan op jaarbasis worden verlengd. Op die manier moeten bedrijven periodiek opnieuw de thermometer in hun privacy-beleid steken. 

Wie de zelfcertificatie tussen 1 augustus en 30 september aanstaande regelt, krijgt onder het Privacy Shield nog een ‘bonus’. Deze in de VS gevestigde bedrijven zijn verplicht hun contracten met bedrijven en organisaties aan wie zij persoonsgegevens van Europese burgers doorgeven – de zogeheten ‘onward transfer agreements’ – in lijn met het Privacy Shield te brengen. Wie de zelfcertificatie binnen deze termijn van twee maanden doet, krijgt de tijd om die contracten binnen negen maanden aan te passen. Wie later met zijn zelfcertificatie op de stoep van het Department of Commerce staat, moet zijn onward transfer agreements meteen in orde hebben.

Kortom, ieder bedrijf dat bezig is met de doorgifte van persoonsgegevens vanuit de EU naar een in de Verenigde Staten gevestigd gelieerd bedrijf, doet er verstandig aan om zelfcertificatie te overwegen. Mede vanwege de termijnen in het Privacy Shield is het wijs niet te lang te wachten met het nemen van dat besluit. 


Lees meer over