Door Herman Braam, 05 februari 2016
Op 2 februari 2016 kondigden de Europese Commissie en de VS aan dat er overeenstemming is over de opvolger van het Safe Harbor verdrag. Het nieuwe raamwerk gaat “EU US Privacy Shield” heten. Maakt dit een einde aan de onduidelijkheid over de uitwisseling van persoonsgegevens met de VS?
Achtergrond Safe Harbor
De Europese privacywetgeving is duidelijk, persoonsgegevens mogen alleen aan landen buiten de Europese Unie worden doorgegeven als die landen een passend beschermingsniveau bieden. Als dat niet het geval is kan doorgifte alleen onder bepaalde voorwaarden.
De Verenigde Staten voldoen niet aan de eisen van een passend beschermingsniveau (volgens de Europese normen), waardoor aparte afspraken noodzakelijk zijn. Het Safe Harbor verdrag bevat de afspraken waaraan Amerikaanse bedrijven moeten voldoen om wel een passend beschermingsniveau te bieden, zodat er toch persoonsgegevens uitgewisseld mogen worden. Hoewel Safe Harbor niet de enige wettelijke grondslag is waarop gegevens naar de VS gestuurd mogen worden is het wel de meest gebruikte.
Safe Harbor onder vuur
Op Safe Harbor was al jaren kritiek, zeker sinds de onthullingen van Edward Snowden over PRISM en het datagraaien van de NSA. Er wordt dan ook al langere tijd onderhandeld tussen de VS en de EU over aanpassing of vervanging van Safe Harbor.
Het Europese Hof van Justitie heeft in oktober 2015 echter het bestaande Safe Harbor verdrag met de Verenigde Staten ongeldig verklaard. De uitspraak volgt in een spraakmakende zaak die door de Oostenrijkse student Max Schrems tegen Facebook was aangespannen. Vanaf dat moment was de overdracht van persoonsgegevens tussen de EU en de VS op grond van Safe Harbor in principe illegaal. Daardoor kunnen Amerikaanse bedrijven niet langer zeggen dat persoonsgegevens voldoende beschermd worden met een verwijzing naar hun Safe Harbor compliance. Alternatieven, als modelcontracten en “Binding Corporate Rules”, boden nog wel een wettelijke grondslag, maar in hoeverre dat zo kon blijven was niet duidelijk. De bezwaren die voor Safe Harbor golden gaan immers ook op voor de modelcontracten.
Privacy Shield to the rescue
Zo ontstond een situatie waarin enorme politieke en economische belangen op spel stonden en door de EU en VS onder hoge druk onderhandeld moest worden om snel tot een oplossing te komen. Om grote economische schade te voorkomen besloten Europese privacytoezichthouders bestaande Safe Harbor afspraken tot eind januari 2016 te gedogen. Amerikaanse en Europese overheden lijken nu op het nippertje deze deadline te hebben gehaald met de Privacy Shield overeenkomst die op 2 februari is aangekondigd.
De nieuwe regeling bevat de volgende elementen:
- Zwaardere verplichtingen voor ondernemingen die persoonsgegevens van Europeanen verwerken en een krachtige handhaving
- Duidelijke waarborgen en transparantieverplichtingen inzake de toegang van de Amerikaanse overheid
- Effectieve bescherming van de rechten van EU-burgers met diverse beroepsmogelijkheden
Daarmee lijkt een oplossing gevonden.
Of toch niet?
Op het moment van de aankondiging was de tekst van de overeenkomst nog niet uitgewerkt, daar moet in de komende weken nog invulling aan gegeven worden. Vervolgens dienen de EU lidstaten geraadpleegd te worden en moet het advies van de Europese privacytoezichthouders (waaronder de Autoriteit Persoonsgegevens) worden afgewacht. Deze toezichthouders hebben al aangegeven zorgvuldig te willen toetsen in hoeverre de nieuwe afspraken voldoen aan de bezwaren van het Europese Hof van Justitie in de Schrems uitspraak. Kortom, er moeten nog de nodige hobbels genomen worden voor Privacy Shield gebruikt kan worden voor de doorgifte van gegevens.
Hoe nu verder?
In de komende weken en maanden wordt het spannend of toezichthouders van mening zijn dat Privacy Shield voldoende waarborgen biedt voor de doorgifte van persoonsgegevens naar de VS. Maar wat te doen in de tussentijd? De Europese Commissie heeft richtsnoeren voor organisaties bekendgemaakt voor doorgifte van gegevens in de periode na het arrest en vóór de invoering van een nieuw kader:
“Totdat het vernieuwde trans-Atlantische kader is ingevoerd, moeten bedrijven een beroep doen op de beschikbare alternatieve instrumenten voor doorgifte. Deze optie brengt echter voor de exporteurs van gegevens verantwoordelijkheden met zich en de gegevensbeschermingsautoriteiten moeten op de inachtneming daarvan toezien.”
Deze alternatieve instrumenten zijn onder andere modelcontracten en “Binding Corporate Rules”. De Europese privacytoezichthouders (verenigd in de zogenaamde Artikel 29 werkgroep) hebben aangegeven deze instrumenten nu nog goed te keuren, maar deze in de beoordeling van het nieuwe Privacy Shield opnieuw te evalueren.
Organisaties doen er goed aan deze ontwikkelingen de komende tijd nauw te volgen en met hun IT-leverancier contractueel te regelen dat de gegevens alleen worden verwerkt in een land en door een partij die voldoende bescherming biedt naar de Europese maatstaven. Als organisatie blijf je immers zelf verantwoordelijk voor de bescherming van de persoonsgegevens die je verwerkt.
Over de auteur: Herman Braam is oprichter en eigenaar van Privyon.
Specialist in vraagstukken op het snijvlak van IT en privacy. Helpt organisaties te voldoen aan de privacywetgeving
Contact via hbraam@privyon.nl of LinkedIn.