Het raamwerk van het EU-US Privacy Shield is afgelopen week gepubliceerd door de Europese Commissie. Met het Privacy Shield moet een betere bescherming voor data van EU burgers in de VS worden geboden dan onder het Safe Harbor regime dat door het Europese Hof van Justitie nietig werd verklaard. Ook beoogt de Europese Commissie organisaties een nieuwe basis te verschaffen voor de rechtmatige verwerking van persoonsgegevens van Europese burgers in de VS. Maar hoe houdbaar is het voorstel, wanneer treedt het in werking en wat zijn de praktische implicaties hiervan voor Europese organisaties?
Voordat het Privacy Shield definitief wordt, moet het eerst worden goedgekeurd door de Raad van Europa en de Artikel 29 Werkgroep. De vraag is of de bezwaren van het Europees Hof die de reden vormden voor het ongeldig verklaren van Safe Harbor met het nieuwe voorstel worden weggenomen. Hoewel het voorstel kritisch is ontvangen, is het gezien de noodzaak voor een snelle oplossing aannemelijk dat het voorstel in ieder geval op hoofdlijnen wordt doorgevoerd. De conclusies van de Artikel 29 Werkgroep en de Raad zijn hierin echter van zeer groot belang. Desalniettemin is het goed een eerste blik te werpen op de consequenties van het Privacy Shield voor Europese organisaties.
Gezien de EU een betere bescherming eist voor data van EU burgers in de VS is het niet verrassend dat de verplichtingen voortvloeiend uit het Privacy Shield worden belegd bij de Amerikaanse organisaties die de data daadwerkelijk verwerken. Het Privacy Shield hanteert een systeem van zelfcertificering, waarbij Amerikaanse bedrijven zichzelf committeren aan de “Privacy Principles” die zijn uitgevaardigd door de US Department of Commerce. De Privacy Principles bestaan uit verschillende beginselen die eisen stellen aan de gegevensverwerking. Naast de zeven basisbeginselen, bestaande uit onder meer keuze, verantwoordelijkheid, integriteit en beveiliging, is er een scala aan uitgangspunten geformuleerd die moeten worden nageleefd wil een organisatie rechtmatig een beroep doen op het Privacy Shield.
Hoewel de verplichtingen aan Amerikaanse organisaties zijn opgelegd, zal dit ook gevolgen hebben voor Europese organisaties. Wellicht is de meest voor de hand liggende actie dat Europese organisaties moeten gaan controleren of de Amerikaanse organisatie aan wie zij gegevens willen verstrekken, is geregistreerd op de Privacy Shield List van het Department of Commerce en niet op de lijst van organisaties die de Privacy Principles schenden. In de aankomende Europese Verordening Gegevensbescherming is overigens ook het vastleggen van alle verwerkingen een nieuw vereiste; vanaf dat moment moeten organisaties dus ook verstrekkingen op grond van het Privacy Shield vastleggen.
Met name wanneer sprake is van een Europese verantwoordelijke en een Amerikaanse bewerker lijkt het Privacy Shield meer gevolgen te hebben voor Europese organisaties. Denk bijvoorbeeld aan de dienstverleningsovereenkomst: organisaties zullen hun aansprakelijkheid willen beperken door contractueel af te dekken dat de Amerikaanse bewerker zich gedurende de duur van de overeenkomst aan de Privacy Principles zal houden. Naast de algemene Privacy Principles zullen ook de overige toepasselijke beginselen moeten worden geïdentificeerd en opgenomen in de overeenkomst.
Een andere consequentie van de nieuwe verplichtingen voor Amerikaanse organisaties is dat er een overlap bestaat tussen verplichtingen van de verantwoordelijk en bewerker. De verantwoordelijke is aansprakelijk voor de veiligheid en integriteit van gegevens, maar onder het Privacy Shield verklaart ook de Amerikaanse bewerker dat recht te waarborgen. Hetzelfde geldt voor bijvoorbeeld het recht op inzage, correctie en verzet. Moet de bewerker de verantwoordelijke informeren wanneer deze een inzageverzoek heeft gehad van een betrokkene? Wie beslist omtrent een verzoek tot correctie? En hoe wordt geïnformeerd in het geval van een datalek? Het is nog de vraag hoe dit in de praktijk zal uitpakken, maar het is niet ondenkbaar dat Amerikaanse en Europese organisaties hun beleid en procedures meer op elkaar zullen (moeten) afstemmen. Een aantal van de nieuwe verplichtingen voor Amerikaanse organisaties noodzaken dan ook tot betere samenwerking tussen Amerikaanse en Europese organisaties.
De Europese Commissie hoopt het voorstel nog voor de zomer te kunnen finaliseren. Wanneer het Privacy Shield van kracht wordt en de VS de nodige structuren inricht, moet de Department of Commerce de Privacy Shield List opstellen die door Europese organisaties kan worden geraadpleegd. Voor nu dienen Europese organisaties nog een andere grondslag te gebruiken voor verstrekking van gegevens van EU burgers aan de VS, zoals BCR’s, SCC’s of ondubbelzinnige toestemming.