Privacy Shield – Wat betekent dat voor u?

privacy_security_01Op 2 februari 2016 liet de Europese Commissie in een persbericht weten dat er een akkoord was bereikt met de VS over de verwerking en opslag van Europese persoonsgegevens in de VS: het Privacy Shield. Op 29 februari 2016 is de voorlopige tekst van het Privacy Shield gepubliceerd.

Hieronder zal worden ingegaan op de inhoud van het Privacy Shield. Achtereenvolgens wordt besproken hoe het systeem in zijn werk gaat, wat de grootste verschillen met het Safe Harbor systeem zijn en welke gevolgen dit voor de praktijk zal hebben.

Wat houdt het Privacy Shield in?

Wanneer een Amerikaanse onderneming voldoet aan het Privacy Shield betekent dit dat door dit bedrijf een adequaat beschermingsniveau wordt geboden aan de verwerking en opslag van Europese persoonsgegevens. Dit houdt concreet in dat Europese ondernemingen op een veilige en rechtsgeldige manier persoonsgegevens kunnen uitwisselen met dit Amerikaanse bedrijf.

Hoe weet u of een onderneming voldoet aan het Privacy Shield?

Net zoals bij het Safe Harbor systeem moeten ondernemingen, die voldoen aan de verplichtingen zoals opgenomen in het Privacy Shield, zichzelf certificeren door middel van een registratiesysteem. Dit gebeurt ieder jaar opnieuw.

De VS heeft toegezegd een actuele lijst bij te houden van deze gecertificeerde bedrijven. Het Amerikaanse Ministerie van Economische zaken gaat er bovendien op toe zien dat bedrijven zich ook daadwerkelijk houden aan alle waarborgen en regels uit het Privacy Shield.

Grootste verschillen ten opzichte van het Safe Harbor systeem

1. Er is geen massasurveillance (meer) toegestaan

De VS garandeert dat duidelijke beperkingen, waarborgen en toezichtmechanismen ingesteld zullen worden voordat de Amerikaanse inlichtingendiensten toegang tot de persoonsgegevens kunnen verkrijgen. Hiermee is een einde gekomen aan de zogenaamde sleepnetmethode, waarbij de VS zoveel mogelijk data analyseert op zoek naar aanwijzingen voor illegale praktijken.

2. Onafhankelijke Ombudsman

Daarnaast wordt er een onafhankelijke Ombudsman in de VS aangesteld die de klachten van Europese Burgers in relatie tot de toegang tot persoonsgegevens door de Amerikaanse Inlichtingendiensten zal gaan behandelen.

3. Klachtenbehandeling

Verder is overeengekomen dat een Amerikaans bedrijf klachten van Europese burgers over de verwerking van hun persoonsgegevens binnen 45 dagen in behandeling dient te nemen. Daarnaast kunnen burgers gebruikmaken van gratis alternatieve geschillenbeslechting door een klacht in te dienen bij een bemiddelingsorgaan waar de desbetreffende onderneming zich bij heeft aangesloten.

Ook kunnen individuen een klacht indienen bij de nationale toezichthouder. In Nederland is dit de Autoriteit Persoonsgegevens. Als deze methoden niet tot een gewenst resultaat leiden kunnen burgers als laatste redmiddel hun toevlucht zoeken tot een arbitrageprocedure.

4. Jaarlijkse evaluatie

Het Privacy Shield wordt ieder jaar opnieuw geëvalueerd en zal, zo nodig, aangepast worden.

Wat betekent dit voor de praktijk?

Momenteel is het nog onduidelijk welke effecten het Privacy Shield op de dagelijkse praktijk zal hebben. De reden hiervoor is dat nog zal moeten blijken hoe streng de regels door de VS worden toegepast en nageleefd. Maar als het Privacy Shield strikt wordt nageleefd dan lijkt dit een vooruitgang te zijn voor de privacy bescherming van Europese Burgers, aangezien de Amerikaanse inlichtingendiensten minder gemakkelijk toegang krijgen tot Europese persoonsgegevens.

Dit geldt echter niet voor Europese ondernemingen, aangezien het uitwisselen van persoonsgegevens met Amerikaanse bedrijven naar verwachting moeilijker zal worden. Voor Amerikaanse bedrijven is het, in vergelijking met Safe Harbor, namelijk minder eenvoudig om certificering op grond van het Privacy Shield te krijgen. Eerder werd immers niet gecontroleerd of een onderneming daadwerkelijk aan het Safe Harbor regime voldeed en was registratie voldoende.

Nu zal het Amerikaanse Ministerie van Economische Zaken erop toezien dat ondernemingen zich daadwerkelijk aan de regels houden, maar de vraag is natuurlijk wel hoe rigoureus dit toezicht in de praktijk zal worden uitgevoerd.

Overige grondslagen

Hoewel het bovenstaande wellicht anders doet vermoeden is het Privacy Shield is niet de enige grondslag voor een rechtsgeldige doorgifte van Europese persoonsgegevens aan Amerikaanse bedrijven. Doorgifte is namelijk ook mogelijk op grond van:

1. Ondubbelzinnige toestemming van betrokkenen

Zodra er ondubbelzinnige toestemming van een betrokkene is verkregen mogen zijn/haar persoonsgegevens verwerkt worden. In de praktijk zal het echter vaak niet haalbaar zijn om deze toestemming van iedereen te verkrijgen. Dit geldt voornamelijk voor ondernemingen waarin op grote schaal persoonsgegevens verwerkt worden.

2.  Interne gedragscodes

Door grote ondernemingen kunnen interne gedragscodes (Binding Corporate Rules) worden opgesteld om de interne verspreiding van persoonsgegevens te bewerkstelligen. Maar deze grond is alleen van toepassing op intern verkeer van persoonsgegevens binnen dezelfde (dochter)onderneming. Daarnaast moeten dergelijke gedragscodes eerst ter goedkeuring aan de Autoriteit Persoonsgegevens worden voorgelegd voordat zij geldig zijn.

3. Europese modelcontracten

Tot slot heeft de Europese Commissie modelcontracten opgesteld, waarmee een adequaat beschermingsniveau voor de doorgifte van persoonsgegevens wordt gegarandeerd. Maar let op: dit geldt alleen wanneer het contract in zijn geheel ongewijzigd wordt overgenomen door partijen.

Tot slot

Momenteel bevinden wij ons dus in een vacuüm: het Privacy Shield is nog niet definitief in werking getreden, terwijl het Safe Harbor regime wel al ongeldig is verklaard. De Europese Modelcontracten lijken daarom vooralsnog de snelste en goedkoopste oplossing te bieden voor de doorgifte van persoonsgegevens aan de VS. Aan Nederlandse bedrijven, die persoonsgegevens met Amerikaanse ondernemingen uitwisselen, wordt dan ook geadviseerd zo snel mogelijk zo’n contact af te sluiten om een rechtsgeldige doorgifte van Europese persoonsgegevens te kunnen garanderen.