News blog

Zorgen Privacy Shield blijven bestaan

Date: 
05.08.16

Op 12 juli is het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, in werking getreden. Daarmee is er eindelijk een vervanger voor het Safe Harbor-verdrag, dat de opslag van Europese persoonsgegevens in de VS regelde.

 

Op basis van de Europese privacyregelgeving is verwerking van gegevens buiten de EU alleen toegestaan wanneer de bescherming van persoonsgegevens in het land van verwerking gelijkwaardig is aan het Europese niveau. Omdat het beschermingsniveau in de VS hier niet aan voldoet, was er het Safe Harborverdrag. Bedrijven die zich hadden aangesloten bij het Safe Harbor Framework beloofden de Europese privacyregels te waarborgen, zodat zij alsnog persoonsgegevens van Europeanen mochten verwerken. De relevantie hiervan is enorm. Denk aan Facebook en Google, maar ook aan kleinere bedrijven die bijvoorbeeld gegevens van klanten via externe, in Amerika gevestigde clouddiensten opslaan.

 

Vorig jaar verklaarde het Hof van Justitie van de Europese Unie echter - naar aanleiding van de onthullingen van Edward Snowden in 2013 - dat Safe Harbor onvoldoende garanties biedt dat de Euroepse privacywetgeving in de VS wordt gehandhaafd. Daarom waren de EU en de VS dgedwongen om over een nieuw privacyverdrag te onderhandelen. Het resultaat hiervan is dus het Privacy Shield. Kern hiervan is dat Amerikaanse bedrijven zichzelf kunnen certificeren, waarbij zij aangeven te voldoen aan de gestelde privacyeisen. Het is Europese bedrijven dan toegestaan om persoonsgegevens naar hen door te geven. De gecertificeerde bedrijven zullen regelmatig worden gecontroleerd door het Amerikaanse ministerie van Handel. Daarnaast hebben betrokkenen onder het Privacy Shield meer rechten dan voorheen. Zo bestaat er de mogelijkheid om klachten in te dienen bij Amerikaanse bedrijven over de wijze waarop men hun gegeven wordt omgegaan. Ook is de Amerikaanse overheid voortaan gebonden aan zes verschillende grondslagen om massasurveillance te verrichten. Klachten over massasurveillance zullen door een ombudsman worden behandeld.

De Autoriteit Persoonsgegevens heeft met de andere Europese privacytoezichthouders kritiekpunten geuit op de conceptversie van het Prviacy Shield. Een deel van deze punten is overgenomen in de definitieve versie die nu van kracht is. Toch blijven zorgen bij het schild bestaan, zo valt te lezen in een bericht van de AP: "Het privacyschild biedt nog geen verzekering dat er geen sprake meer zal zijn van op grootschalige en ongerichte wijze verzamelen van persoonsgegevens afkomstig uit de EU door Amerikaanse inlichtingendiensten." Ook zouden de bevoegdheden en taken van de Amerikaanse ombudsman onvoldoende zijn vastgelegd.

 

Het is afwachten hoe toepassing van het Privacy Shield zich in de praktijk zal ontwikkelen. Als alternatief voor het privacyschild kunnen bedrijven gebruik blijven maken van 'binding corporate rules' of modelcontracten van de Europese Commissie.

 

Voor meer informatie over het Privacy Shield zie hier.

 

Door: Eva Veldhoen