Leestijd: 6 minuten
De opvolger van het door het Europese Hof van Justitie doodverklaarde Safe Harbor werd vorige week aangenomen door de Europese Commissie. Het zal de grondrechten moeten beschermen van iedereen in de Europese Unie van wie persoonsgegevens naar de Verenigde Staten worden doorgegeven. Het geeft daarbij duidelijkheid voor ondernemingen die trans-Atlantische gegevensdoorgiften nodig hebben. Per 1 augustus 2016 kunnen Amerikaanse partijen zich melden bij het Amerikaanse Ministerie van Handel voor de certificering.
Privacy: een Europese geschiedenis
De reden dat Europa haar burgers goed wil beschermen tegen misbruik van persoonsgegevens is gelegen in de Tweede Wereldoorlog. De Duitse bezetter kon via de in de bevolkingsregisters opgeslagen persoonsgegevens efficiënt Joden opsporen en razzia’s organiseren. De persoonsgegevens werden dus uit hun oorspronkelijke context gehaald en aangewend voor duistere doeleinden. Een ernstiger voorbeeld van ‘function creep‘ is nauwelijks denkbaar.
Na de Tweede Wereldoorlog werd Europa gesticht en werden er Europese en internationale verdragen gesloten die de grondrechten van mensen moeten beschermen. Eén van deze grondrechten is het recht op privacy, dat zich – tegen de achtergrond van steeds verdergaande automatisering – heeft ontwikkeld als een recht waarmee een betrokkene controle kan uitoefenen op zijn persoonsgegevens.
Safe Harbor: problemen
Het toegenomen gebruik van het internet maakte internationale datastromen van onder meer persoonsgegevens mogelijk. In Europa werd in 1995 de verwerking van persoonsgegevens met Richtlijn 95/46/EG met waarborgen omkleed. Zo mochten persoonsgegevens niet meer worden doorgegeven naar landen buiten de Europese Economische Ruimte (EER) die een onvoldoende passend beschermingsniveau boden. De Verenigde Staten was zo’n land.
Vanwege de vele economische belangen (en Amerikaanse lobby) werd in 2000 door de Europese Commissie bepaald dat als een betreffende Amerikaanse partij zich conformeerde aan de Safe Harbor Privacy Principles, het beschermingsniveau als passend zou worden geacht. Pas vijftien jaar later bevestigde het Europese Hof van Justitie wat iedereen eigenlijk al wist: Safe Harbor is een wassen neus. Hiermee kwam plotseling een veel gebruikte rechtsgrond te ontvallen die voor doorgifte van gegevens naar de VS nodig was.
Privacy Shield: de oplossing?
Europa en de VS waren al in onderhandeling over een nieuw kader voor doorgifte van dergelijke gegevens toen het doek voor Safe Harbor viel. Voor de VS noodzakelijk vanwege wereldwijde dataverwerkers als Google en Facebook en andere Amerikaanse multinationals. Uit het persbericht van de Europese Commissie kan worden afgeleid dat het de bedoeling is geweest dat het Privacy Shield aan de vereisten van de Europese privacyregels voldoet. Het eerdere concept van de Privacy Shield kreeg echter stevige kritiek van de Article 29 Working Party (pdf), de bij de richtlijn ingestelde internationale vertegenwoordiging van privacytoezichthouders, met name omdat:
- Organisaties niet worden verplicht om gegevens te verwijderen wanneer deze niet meer nodig zijn;
- Het niet volledig verboden wordt om massale en willekeurige gegevens te blijven verzamelen; en
- De positie en de macht van de in te stellen Ombudsman onduidelijk was.
- Er is geen doelbinding die misbruik of onvoorzien gebruik van de gegevens beschermt;
- Europese betrokkenen hebben geen keuze voor bepaalde verwerkingen (opt-in), maar achteraf een mogelijkheid om zich af te melden (opt-out);
- Amerikaanse partijen krijgen via het Privacy Shield wellicht toegang tot de Europese markt met lichtere regels en verplichtingen ten aanzien van de privacy dan de Europese partijen (geen level playing field);
- Onduidelijk is nog hoe effectieve detectie- en toezichtmechanismen zullen werken zonder duidelijke onderzoeksbevoegdheden;
- Onduidelijk is nog hoe de Europese Commissie meent dat het toestaan van massale gegevensverzameling zich kan verhouden tot de Europese beginselen van doelbinding en verbod op bovenmatige gegevensverzameling.
Max Schrems
De Oostenrijkse privacyvoorvechter Max Schrems verwoordt de kritiek op het Privacy Shield mooi:
‘Privacy Shield is the product of pressure by the US and the IT industry – not of rational orreasonable considerations. It is little more than an little upgrade to Safe Harbor, but not a new deal. It is very likely to fail again, as soon as it reaches the CJEU. This deal is bad for users, which will not enjoy proper privacy protections and bad for businesses, which have to deal with a legally unstable solution. The European Commission and the US government managed to make everyone miserable, when they could have used this opportunity to upgrade the protections that are crucial for consumer trust in online and cloud services.’ (pdf)
Wat nu?
Hoewel Amerikaanse bedrijven wellicht in overweging nemen om Privacy Shield te omarmen, lijkt het systeem van ‘EU Model Clauses’ (een systeem waarbij tussen partijen een contractuele waarborg wordt gesloten) veiliger. Maar iedereen dient zich te beseffen dat ook die afspraken aan de laars gelapt kunnen worden. Desondanks is dat nog steeds de meest veilige route naar privacy compliance. NORD Advocatuur is u graag van dienst bij vraagstukken rondom internationale gegevensverwerking en -doorgifte.