Is Privacy Shield bedoeld ter protectie Amerikaanse bedrijven tegen Europese wetgeving?

Nadat het Europese Hof van Justitie (HvJEU) in oktober 2015 een streep zette door het Safe Harbor verdrag is het de beurt aan diens opvolger: de Privacy Shield. Op de dag dat datastromen van persoonsgegevens geen geldige grondslag meer kenden in het Safe Harbor verdrag informeerden wij al onze relaties over de gevolgen daarvan. Maar neemt de Privacy Shield de privacy-zorgen nu helemaal weg of is het eigenlijk geen verbetering ten opzichte van het Safe Harbor verdrag? De hoogste tijd voor een update nu het nieuwe arrangement aan regels vanaf 1 augustus 2016 in werking is getreden.

Wat is de Privacy Shield?

Na 9 maanden van onzekerheid kondigde de Europese Commissie aan dat overeenstemming is bereikt over de Privacy Shield voor de geldige doorgifte van gegevens van de EU naar de VS. De Privacy Shield werd in februari 2016 voorgesteld om het Safe Harbor verdrag te vervangen, welke door het HvJEU in het eerste Schrems arrest (‘Schrems 1’) aan de kant werd gezet. Deze uitspraak kwam naar aanleiding van een zaak die de Oostenrijker Max Schrems tegen Facebook had aangespannen. De Privacy Shield moest er nu wèl voor gaan zorgen dat bedrijven in de VS striktere verplichtingen hebben persoonsgegevens te beschermen. De Privacy Shield is een zogenaamde 'adequacy decision', waarmee de Europese Commissie kan vastleggen dat de bescherming van persoonsgegevens in een land buiten de EU overeenkomt met die van de EU zelf, oftewel dat deze 'essentially equivalent' is. Het huidige adequaatheidsbesluit richt zich alleen op de VS en geldt voor iedereen die persoonsgegevens naar dat land wil doorgeven.

Bedrijven kunnen deelnemen aan de Privacy Shield vanaf 1 augustus 2016, waarna het Amerikaanse Ministerie van handel certificaten aan die bedrijven kan uitgeven. Vervolgens worden die erkende bedrijven op een lijst van gecertificeerde bedrijven geplaatst. Als aangesloten bedrijven in de praktijk niet voldoen aan de regels kunnen zij worden geconfronteerd met sancties en verwijdering uit de lijst.

Waarom duurde het zo lang?

Het was de Europese Commissie er veel aan gelegen om zo snel mogelijk een vervanger van het Safe Harbor verdrag in het leven te roepen om de onzekerheid voor bedrijven die persoonsgegevens naar de VS transporteren weg te nemen. In februari meldde dat de Europese Commissie dat men hoopte dat de Privacy Shield al begin mei 2016 zou worden afgerond. Al snel bleek dat plan te ambitieus en kwam de Artikel 29-werkgroep (WP29) in april 2016 met forse kritiek, waarna ook de Europese Toezichthouder Gegevensbescherming (EDPS) met een groot aantal opmerkingen kwam. De Europese Commissie en de VS zeggen deze zorgen serieus te hebben genomen. Dit heeft geleid tot een groot aantal verbeteringen in de diverse aanhangsels bij het besluit. Ook is een aantal overwegingen van het ontwerpbesluit geherformuleerd.

Wat zijn die verbeteringen dan?

Met de laatste wijzigingen heeft de Privacy Shield nu dezelfde territoriale reikwijdte als de Privacyrichtlijn (95/46/EG) en de Algemene verordening Gegevensbescherming (AVG). Dit betekent dat de Privacy Shield zal gelden voor de gehele EER. Er komt nu een meldplicht van de VS aan de Europese Commissie bij elke wijziging van interne wetgeving. Een inspanningsverplichting van bedrijven in de VS moet ervoor zorgen dat mogelijk maatregelen dienen te worden getroffen indien het Amerikaanse bedrijf persoonsgegevens naar een derde land wenst te transporteren. Ook belangrijk is dat er nu invulling is gegeven aan bewaartermijnen, verenigbaar gebruik van persoons-gegevens voor andere doeleinden dan waarvoor die gegevens zijn verzameld en gebruik voor historische, wetenschappelijke, statistische en archiveringsdoeleinden. Verder wordt er veel verwacht van de aanstelling van een zogenaamde Ombudspersoon, verscherpt toezicht van de Federal Trade Commission en de beperkingen op bevoegdheden om bulkgegevens te verzamelen. Tot slot lijkt ook de Europese Commissie tegemoet te zijn gekomen aan de overwegingen van het HvJEU in het arrest Schrems door de overwegingen in de Privacy Shield (90, 124, 140 en 146) voor een groot gedeelte te herschrijven.

Is het verzet nu weggenomen?

Nee. WP29 is nog steeds kritisch ove rde Privacy Shield. Met name uit WP29 zorgen bij het ongericht verzamen van persoonsgegevens (bulk collection) en de Ombudsman. WP29 komt binnenkort met meer informatie voor verantwoordelijken voor persoonsgegevens (data controllers) over hun verplichtingen onder de Privacy Shield, rechten van betrokkenen en suggesties voor de eerste gezamenlijke review van de Privacy Shield.

Andere critici vragen zich af of de Amerikaanse regering de gemaakte afspraken wel kan nakomen en stellen dat juist substantiële wetswijzigingen in de VS noodzakelijk zijn. Recente rechtszaken in de VS waarin rechten van individuen werden ondermijnd zetten deze kritiek op scherp. Afspraken gericht op Amerika bevatten veel bovendien veel instructies aan de huidige regering. Niet verrassend dus dat er onzekerheid heerst over hoe die instructies zullen worden gehanteerd na de Amerikaanse verkiezingen in november 2016. De VS verwacht zelf controle van de gemaakte afspraken door de Europese autoriteiten te doorstaan.

Het lijkt onwaarschijnlijk dat de bezorgdheid over de Privacy Shield snel zal verdwijnen. Europees privacy voorvechter Max Schrems, die Safe Harbor met succes uitdaagde, vindt de Privacy Shield “little more than a little upgrade”, zo luidde zijn statement afgelopen week. Hij voegde daaraan toe: “It is very likely to fail again, as soon as it reaches the CJEU. This deal is bad for users, which will not enjoy proper privacy protections and bad for businesses, which have to deal with a legally unstable solution.”  Het uiteindelijke product komt volgens hem voort uit druk van de VS en de ict-industrie, in plaats van uit redelijke overwegingen.

Opmerkelijk is ook dat vier landen (Oostenrijk, Bulgarije, Kroatië en Slovenië) zich onthouden van stemming in het Artikel 31 Comité dat de Privacy Shield heeft begin juli heeft goedgekeurd. Het is dan ook de vraag wat die landen voor aanvullende maatregelen gaan nemen. Nationale autoriteiten hebben namelijk op tal van terreinen de bevoegdheid strengere regels op te leggen en eigen maatregelen te nemen ter bescherming van persoonsgegevens van hun onderdanen.

Een andere vraag is of de Privacy Shield wel helemaal voldoet aan de AVG die geldt vanaf 24 mei 2016 en wordt gehandhaafd vanaf 25 mei 2018. Volgens de Europese Commissie is een heronderhandeling in verband met de AVG niet nodig, omdat de principes van de Privacy Shield “veel van de elementen” van de AVG zouden omarmen. Men kan zich afvragen: waarom niet allemaal, aangezien de Privacy Shield een soortgelijk beschermingsniveau moet bieden. Staat Amerikaanse wetgeving daaraan in de weg?

Onbeantwoorde vragen na Schrems 1

Als we kijken naar het arrest van het HvJEU in Schrems 1 en het huidige Privacy Shield, dan blijven de volgende vragen onbeantwoord:

  • Hoe kan een systeem dat alleen opt-out vereist voor de overdracht van gegevens aan een derde ("Notice & Choice") worden gezien als "gelijkwaardig" aan EU-wetgeving inzake gegevensbescherming? De Privacyrichtlijn en de AVG vereisen namelijk (uitdrukkelijke) toestemming (of een andere grondslag), zelfs voor het ‘slechts’ verzamelen van persoonsgegevens.
  • Hoe kunnen private arbitrage-instanties (in de VS) "effectieve opsporing en controle mechanismen" zijn als ze niet de effectieve mogelijkheid hebben de feiten (bijvoorbeeld ‘on-site’) te onderzoeken?
  • Hoe kan de Europese Commissie beweren dat er géén "toegang op een algemene grondslag is", terwijl de VS expliciet zes gevallen noemt waarin "bulk collection" mogelijk is?
  • Hoe kan een Ombudsman, die niet openbaar maakt dat een persoon is onderworpen aan surveillance, zorgen voor een "recht op effectieve rechtsbescherming en een eerlijk proces"?

De vraag is dan ook wie het HvJEU als eerste zal uitdagen zich uit te laten over de Privacy Shield. Schrems verwacht in ieder geval dat de Privacy Shield het lot van het Safe Harbor verdrag zal delen en waarschijnlijk door een rechter opnieuw ongeldig wordt verklaard.

De Standard Contractual Clauses (SCC): een houdbaar alternatief?

Het HvJEU heeft nog een andere uitdaging die alternatieven voor een geldige gegevensoverdracht mogelijk niet ongeroerd laat. Tot enkele maanden geleden leken de SCC een houdbaar alternatief voor het Safe Harbor verdrag. De SCC zijn standaardcontracten van de Europese Commissie die (ongewijzigd) een geldige basis bieden om persoonsgegevens door te geven naar een derde land dat geen passend beschermingsniveau biedt. Door een nieuwe procedure van Schrems tegen Facebook in Ierland zijn nu ook de SCC mogelijk onder vuur komen te liggen.

Als het HvJEU de SCC volledig ongeldig verklaart, dan kunnen deze niet meer worden gebruikt. Zonder de SCC kan het op grote schaal uitwisselen van persoonsgegevens met bedrijven in het buitenland problemen opleveren, zeker als de Privacy Shield het niet redt. Dan blijven slechts alternatieven als de Binding Corporate Rules (BCR) en de vergunning van de Minister van Veiligheid en Justitie over. Beide opties zijn doorgaans tijdrovend en ook kostbaar.

Ask yourself…

Wat kunt u doen als uw bedrijf verantwoordelijkheid draagt voor de overdracht van persoonsgegevens naar de VS? Algemene praktische tips zijn makkelijk te geven, maar dikwijls te kort door de bocht. Het is daarom beter zaken eerst goed in kaart te brengen en een antwoord te krijgen op vragen, zoals:

  • Op welke grond(slag) vindt de overdracht van persoonsgegevens nu plaats?
  • Is dit intercompany of naar/met behulp van derden?
  • Welke stappen zijn er genomen om die gegevensstromen geldig te maken?
  • Stel vast hoe afhankelijk uw bedrijf is van data overdracht naar de VS. Wat is bijvoorbeeld de impact van bijvoorbeeld het mogelijk ongeldig worden van de SCC?
  • Wat kan de Privacy Shield uw bedrijf bieden: welke uitdagingen zijn er om compliant te worden?
  • Zijn de SCC werkbaar of wellicht de BCR? (de BCR hebben opnieuw toepassing gevonden in de AVG)
  • Zijn (intercompany) contracten en bewerkersafspraken, protocollen en privacy-beleid up-to-date?

Conclusie

De Privacy Shield is een stap in de goede richting, maar laat na Schrems 1 een aantal belangrijke vragen onbeantwoord. Verplichtingen aan Amerikaanse bedrijven lijken te lichtvaardig. Stakeholders staan op scherp. WP29 blijft kritisch. Nationale autoriteiten slijpen hun messen om steeds vaker en sneller te gaan handhaven. Wij zijn van mening dat uw bedrijf zich niet mag blindstaren op de Privacy Shield en een reële afweging zal moeten maken tussen de bestaande alternatieven, niet alleen op schrift (zoals de SCC en BCR) maar ook in de praktijk (afhankelijkheid en noodzakelijkheid).

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.