Enige tijd geleden schreef ik over het einde van het Safe Harbor verdrag. De Oostenrijkse rechtenstudent Max Schrems zorgde ervoor dat de Europese rechter een streep zette door dit verdrag. Op grond van Safe Harbor konden gegevens van Europese burgers in de VS worden verwerkt.
Daar zijn aparte afspraken voor nodig, omdat de VS getoetst aan Europese privacywetgeving niet voldoende waarborgen biedt die onze persoonsgegevens beschermen.
Op het verdrag was al lange tijd veel kritiek. Zo bestond Safe Harbor uit een zelfcertificering van bedrijven in de VS en was er nauwelijks toezicht op naleving van de regels. De rechter oordeelde dat de afspraken te weinig waarborgen boden aan Europese burgers. Daarbij is het opmerkelijk dat het Hof ver ging door te zeggen dat de verwerking van persoonsgegevens in het kader van de nationale veiligheid van de VS onevenredig ver gaat en niet nodig is.
En toen werd het lang onrustig in privacyland. De uitspraak van de rechter werd door toezichthouders op verschillende manier geïnterpreteerd. Het was duidelijk dat er nieuwe afspraken moesten komen. Deze nieuwe afspraken moesten niet alleen voldoen aan de uitspraak van de rechter, maar ook de publieke opinie tevredenstellen. Na lang overleg tussen de EU en de VS is deze week de concepttekst van EU-VS Privacy Shield gepresenteerd.
Einde van de onrust, zou je misschien denken. Maar niets is minder waar. Op Privacy Shield is enorm veel kritiek geuit. Max Schrems zelf zegt er onder andere het volgende over:
“They tried to put ten layers of lipstick on a pig, but I doubt the Court and the DPAs now suddenly want to cuddle it. The Court has required the European Commission and the US government to go an extra kilometer – the ‘privacy shield’ is an aggregation of a couple extra inches. There are obviously some minor improvements, but this is far from what the Court required for an ‘adequacy decision’. Even if they try to cover this in a major PR exercise, this does unfortunately not seem like a stable solution”.
Het gaat te ver om in dit blog de Safe Harbor-uitspraak tot in detail te toetsen aan de waarborgen die Privacy Shield zou bieden. Los daarvan is Privacy Shield tot stand gekomen na lange en moeizame onderhandelingen tussen beide kampen. In deze onderhandelingen zijn door zowel de VS als de EU concessies gedaan, geven en nemen. Het alternatief is dat er geen framework ligt. We hebben in de afgelopen periode gezien voor hoeveel onrust dat zorgt. Stel dat de Europese rechter ook Privacy Shield ongeldig verklaart, wat dan? Dan zullen beide partijen terug naar de onderhandelingstafel moeten, waarbij het nog maar zeer de vraag is of Privacy Shield niet het hoogst haalbare is. Ik maak me iedere dag hard voor bescherming van onze privacy en persoonsgegevens, maar in zulke onderhandelingen spelen ook andere, bijvoorbeeld politieke en culturele, elementen een rol.
Privacy Shield introduceert een aantal nieuwe regels waar Amerikaanse bedrijven zich aan moeten houden. Wat niet verandert, is het systeem van zelfcertificering. Ook onder Privacy Shield moeten bedrijven zich registreren en schriftelijk aantonen dat zij de privacy van EU burgers waarborgen. Het toezicht op naleving hiervan wordt gedaan door de Amerikaanse minister van Economische Zaken. Daarnaast is opgenomen dat de VS alleen gegevens van EU burgers mag aftappen als daar een noodzaak voor is. Als EU burgers klachten hebben over de manier waarop een Amerikaans bedrijf persoonsgegevens verwerkt, kunnen ze een klacht indienen bij de Amerikaanse Ombudsman. Een alternatief is een klacht indienen bij de nationale toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens.
De tekst is nog niet definitief. De toezichthouders zijn nu aan zet en zij verwachten in april met een standpunt te komen. De uitspraak van de Europese rechter in de Schrems-zaak gaat echter verder dan alleen de gegevensverwerking van EU burgers in de VS. De gedachte achter de uitspraak geldt ook voor andere ‘derde landen met een onvoldoende beschermingsniveau’. En geldt bovendien wat mij betreft ook niet alleen voor Safe Harbor en gegevensverwerking in de VS. Daar is dus nog zeker werk aan de winkel.
Worden persoonsgegevens van uw klanten of werknemers in de VS verwerkt? Gebruikt u bijvoorbeeld een ICT bedrijf of salarisadministratie die in de Amerikaanse cloud werkt of in de VS gevestigd is? Neem dan contact met mij op. Ik informeer u graag over wat u wel en niet kunt en moet doen totdat Privacy Shield definitief is.
Simone Dirven