Concrete verbeteringen nodig om de toekomst van het EU-VS Privacy Shield te waarborgen

Na de eerste jaarlijkse herziening van het EU-VS Privacy Shield, die afgelopen september plaatsvond, heeft de Artikel 29 Werkgroep (WG29) haar bevindingen hiervan gepubliceerd. WP29 vindt dat het Privacy Shield een grote vooruitgang betekent ten opzichte van het eerder ongeldig verklaarde Safe Harbor verdrag. Niettemin vinden de toezichthouders dat er nog veel stappen ondernomen dienen te worden om de veiligheid van data uitwisselingen tussen de EU en de VS goed te kunnen waarborgen. Bij de volgende evaluatie moeten de door hen geadresseerde aandachtspunten verholpen zijn. Is dit niet het geval dan dreigt de WG29 naar het Hof van Justitie van de Europese Unie toe te stappen.

Commerciële aspecten van het Privacy Shield

De VS heeft veel vooruitgang geboekt met betrekking tot het procedurele kader rondom het Privacy Shield. Zo heeft onder andere het ‘Department of Commerce (DoC)’ een team samengesteld wat zich zal bemoeien met diepgaande controles van bedrijven die zichzelf willen zelf-certificeren voor het Privacy Shield of dit reeds hebben gedaan. WP29 uit echter bezorgdheid rondom een aantal punten, waar hieronder kort op wordt ingegaan.

Richtlijnen

De VS moet meer duidelijkheid scheppen over de rechten en plichten rondom databescherming. Zowel burgers als bedrijven moeten beter en inhoudelijker worden geïnformeerd. Tot op heden zijn officiële richtlijnen over het Privacy Shield merendeels procedureel van aard. Ook moet de Amerikaanse overheid beter informeren met betrekking tot hoe EU-burgers kunnen opkomen voor hun rechten jegens Amerikaanse bedrijven.

Toezicht

In het rapport wordt aangegeven dat de VS onvoldoende toezicht houdt op bedrijven die zich hebben ge(zelf)certificeerd. Na het verkrijgen van de certificering wordt in de praktijk niet voldoende getoetst of bedrijven inderdaad voldoen aan de voorwaarden van het Privacy Shield.

Verwerkers en verwerkingsverantwoordelijke

Verwerkingsverantwoordelijken beslissen over het doel en de doeleinden van een verwerking. Vervolgens kunnen zij verwerkers inhuren die namens hen op instructie van de verantwoordelijke persoonsgegevens verwerken. Het onderscheid tussen verantwoordelijken en verwerkers dient te zorgen voor een duidelijke rollenverdeling en ook voor de juridische verantwoordelijkheden. De WP29 kaart aan dat in de VS het onderscheid tussen beide actoren ietwat troebel is, wat zich uit in verschillende problemen.

Uitzonderingen op het Privacy Shield in de VS in het belang van rechtshandhaving en nationale veiligheid

Door het publiceren van verschillende, voorheen geclassificeerde, documenten geeft de VS geleidelijk gehoor aan de wil om meer transparantie rondom de surveillance praktijken. Deze documenten verschaffen belangrijke informatie rondom de uitvoering van surveillance praktijken en wat voor waarborgen hiervoor ingebouwd zijn. Desondanks wijst de WP29 ook hier op een aantal concrete aspecten waar verbetering essentieel is.

Verzameling van data

Onder Section 702 FISA wordt in de VS gebruik gemaakt van PRISM en UPSTREAM, deze programma’s worden gebruikt voor het verzamelen van grote hoeveelheden data. De WP29 kaart echter aan dat er meer inzicht moet komen met betrekking tot de werking en uitvoering van deze programma’s om te kunnen verifiëren dat er, zoals door de VS wordt bepleit, geen sprake is van willekeurige en grootschalige verzameling van persoonsgegevens.

Toezicht

De WP29 erkent de waarde van de onafhankelijke ‘Privacy and Civil Liberties Oversight Board (PCLOB)’ en verzoekt de VS om de PCLOB uit te breiden. Volgens het rapport is meer mankracht nodig voordat de PCLOB zijn taken naar behoren kan uitvoeren.

Het Ombudsman mechanisme

De WP29 drong eerder al aan op de benoeming van een permanente Ombudsman. Ook moet er meer duidelijkheid komen met betrekking tot de bevoegdheden van de Ombudsman ten opzichte van inlichtingendiensten. Veel van de informatie die door de Ombudsman wordt ontvangen is echter geclassificeerd, waardoor de WP29 het Ombudsman mechanisme niet naar behoren kan verifiëren. Ook is gebleken dat er geen mogelijkheid bestaat om in beroep te gaan tegen besluiten van de Ombudsman. 

Het rapport uit verder zorgen met betrekking tot de toegang tot data die verwerkt wordt voor rechtshandhavingsdoeleinden en de algemene rechtswegen die bestaan voor EU-burgers.

Toekomst van het Privacy Shield

De WP29 heeft aangegeven dat bovenstaande tekortkomingen geadresseerd moeten worden, zodat het Privacy Shield de bescherming biedt die het moet bieden. Door de bestaande onzekerheden rondom het gebruik van modelcontracten (zie hiervoor een eerdere blog over Schrems 2.0) en de voorwaarde dat, indien er geen concrete verbeteringen ontstaan, het Privacy Shield door WP29 wordt voorgelegd aan het Hof van Justitie zal er aan beide kanten van de Atlantische Oceaan de komende maanden hard gewerkt worden om de toekomst van het Privacy Shield te waarborgen.

Exporteert u data naar de VS of heeft u verdere vragen over het Privacy Shield? Neem dan contact met ons op.

Jonathan Toornstra Legal Consultant

Meer weten over dit onderwerp?

toornstra@considerati.com +31 (0) 618189615