Het EU-VS Privacy Shield: aftellen tot de eerste jaarlijkse herziening

Op 18 september 2017 vindt in de Verenigde Staten de eerste jaarlijkse herziening plaats van het EU-US Privacy Shield. Het Privacy Shield wordt momenteel door meer dan 2000 organisaties gebruikt om het verwerken van persoonsgegevens van EU-Burgers in de VS rechtmatig te laten plaatsvinden. Deze organisaties kijken dan ook weer gespannen naar de aankomende herziening en mogelijke wijzigingen in de overeenkomst die daaruit volgen.

Onrust

De overeenkomst heeft sinds de eerste conceptversies in 2016 herhaaldelijk gezorgd voor veel ophef. In een eerdere blog berichtten we al over een aantal zorgen die onder andere de Artikel 29 Werkgroep bekend maakte. Daarnaast hebben twee NGO’s (Digital Rights Ireland en Le Quadrature du Net) het afgelopen jaar zaken aangespannen tegen het Privacy Shield. Ook diende in april 2017 het Europees Parlement een kritische ontwerpresolutie in waarin het een aantal problemen uiteenzette die behandeld moeten worden tijdens de aankomende jaarlijkse herziening. Uit de ontwerpresolutie bleek onder meer dat er in de EU op verschillende niveaus zorg bestaat over de manier waarop het Privacy Shield gesteund wordt door de Trump regering.

Door deze kritiek vanuit verschillende instanties neemt de onrust rondom de houdbaarheid van de overeenkomst toe. Desalniettemin is het niet wenselijk om het Privacy Shield als geheel ongeldig te verklaren, aangezien er voor de meeste Europese organisaties geen tot weinig alternatieven beschikbaar zijn voor het verwerken van persoonsgegevens in de VS.  Met name hierdoor ligt de focus bij de jaarlijkse herziening van 18 september op het verbeteren en behouden van het Privacy Shield.

Artikel 29 Werkgroep

De Artikel 29 Werkgroep heeft een aantal aandachtspunten geformuleerd die tijdens de herziening dienen te worden meegenomen. Deze punten zien onder andere op:

  • De aanwezigheid van garanties met betrekking tot geautomatiseerde besluitvorming;
  • De aanwezigheid van richtlijnen van het DOC (United States Department of Commerce) met betrekking tot de toepassing van Privacy Shield principes voor organisaties die fungeren als agents/processors;
  • Duidelijkheid en toelichting met betrekking tot de definitie van “human resources data”;
  • De stand van zaken rondom de laatste jurisprudentiële ontwikkelingen in de VS op het gebied van privacy;
  • Bewijs dat aantoont dat wanneer massa collectie van data plaats vindt, deze zo gelimiteerd mogelijk en proportioneel is;
  • Duidelijkheid rondom de selectieprocedure, onafhankelijkheid en functie van de Amerikaanse ombudsman.

Na de herziening worden de geconstateerde tekortkomingen en wijzigingen daaromtrent door de Europese Commissie alsook van de Artikel 29 Werkgroep in een rapport gepubliceerd. Wij zullen die uitkomsten te zijner tijd natuurlijk ook op dit blog bespreken.

Exporteert u data naar de VS of heeft u verdere vragen over het Privacy Shield? Neem gerust vrijblijvend contact met ons op.

Jonathan Toornstra Legal Consultant

Meer weten over dit onderwerp?

toornstra@considerati.com +31 (0) 618189615