• Nieuws

Na Safe Harbour het nieuwe Privacy Shield; beter of niet?

02 maart 2016
Privacy

Op de schrikkeldag van dit jaar (29 februari 2016) heeft de Europese Commissie de concepttekst van de Privacy Shield-overeenkomst bekend gemaakt. De vraag is nu of dit Privacy Shield een verbetering is ten opzichte van het ongeldig verklaarde Safe Harbour-verdrag. De geluiden zijn namelijk nogal kritisch.

Safe Harbour

In oktober 2015 heeft het Europese Hof het Safe Harbour-verdrag ongeldig verklaard. Het Hof was van mening dat de doorgifte van de gegevens van Europese burgers naar de Verenigde Staten onvoldoende gewaarborgd werd. Dit had tot gevolg dat doorgifte van persoonsgegevens naar de Verenigde Staten onder het Safe Harbour-regime niet meer was toegestaan en de Europese Commissie en de Verenigde Staten opnieuw moesten gaan onderhandelen over een veilige en goed gewaarborgde doorgifte.

Privacy Shield

De onderhandelingen hebben tot een nieuwe overeenkomst geleid, het Privacy Shield. In haar persbericht van 29 februari licht de Europese Commissie de concept wetteksten van de nieuwe overeenkomst tussen de EU en VS toe. De algemene lijn is dat er een beter en scherper toezicht zal zijn en dat de Amerikaanse overheid niet zomaar onbeperkte toegang tot persoonsgegevens krijgt.

Volgens de Europese Commissie kan het nieuwe Privacy Shield waarborgen dat gegevensoverdracht naar de VS nu gelijkwaardig is aan de gegevensbeschermingsnormen in de EU. Het nieuwe kader weerspiegelt de vereisten die het Europees Hof van Justitie heeft vastgesteld bij de Safe Harbour-uitspraak. De autoriteiten van de VS hebben duidelijke toezeggingen gedaan dat zij het Privacy Shield strikt zullen naleven en handhaven. Ook hebben zij verzekerd dat de nationale veiligheidsdiensten zich zullen onthouden van willekeurig of grootschalig toezicht.

De navolgende voorstellen springen eruit:

  1. Klachten van burgers moeten binnen 45 dagen worden opgelost;
  2. Gratis geschillenbeslechting; eventueel opgevolgd door een oplossing door de nationale toezichthouder met als ultimum remedium een arbitragepanel met bindend advies;
  3. Het recht van burgers om te kiezen voor een opt-out;
  4. Verplichting voor bedrijven voor het onderschrijven en opnemen van “privacyprincipes” in de privacyvoorwaarden.

Kritiek

Op de concepttekst is al veel kritiek gekomen. Het Privacy Shield zou niet waterdicht zijn. In tegenstelling tot wat de Europese Commissie schrijft in haar persbericht is het helemaal niet zo dat de Amerikaanse veiligheidsdiensten zich zullen onthouden van toezicht op en het bulk verzamelen van persoonsgegevens. Het Privacy Shield bevat zes uitzonderingen waaruit blijkt dat de Verenigde Staten toch kunnen rondneuzen in de persoonsgegevens van de Europese burgers. Als het gaat om terrorismebestrijding, cybersecurity en internationale criminaliteit is bulk verzameling van persoonsgegevens door de Amerikaanse overheid wel toegestaan. Deze uitzonderingen komen niet overeen met de eisen van het Europees Hof die zij bij de Safe Harbour-uitspraak heeft geformuleerd.

Vervolg

Het nieuwe Privacy Shield is nog in concept. Dit betekent dat de wettekst de komende tijd nog onder de loep zal worden genomen door onder meer de nationale privacytoezichthouders van de EU-lidstaten en de Artikel 29-werkgroep. Gelet op de kritiek zal het denkbaar zijn dat het concept nog wordt aangepast. Wordt vervolgd!

Dit artikel is geschreven door Ady van Nieuwenhuizen.