De doorgiften van persoonsgegevens aan derde landen

Het is hartje zomer in Nederland. Een droog en zonnig land, hoogst uitzonderlijk onderbroken door een kleine regenbui. Deze zomerse sfeer is ook dominant in Brussel. Dit leidt er ook toe dat er weinig te melden over het EU beleid op het gebied van privacy. Stilte voor de storm?   

Toch gebeuren er wel een paar zeer interessante dingen, met name rond de doorgiften van persoonsgegevens aan derde landen. Ten eerste, het Privacy Shield staat opnieuw in het middelpunt van de belangstelling; ten tweede, de EU en Japan hebben overeenstemming bereikt over een adequacy-besluit, en, ten  derde, de lange verwachte prejudiciële procedure voor het Europees Hof over de standaardclausules is eindelijk gestart.

Het Privacy Shield: geen rustig bezit

Het Privacy Shield moet garanties bieden voor een ordentelijke doorgifte van persoonsgegevens van de EU naar de VS. Het lijkt ook een succes: meer dan 3000 bedrijven hebben zich gecertificeerd onder dit regime.

Er blijven echter steeds twijfels bestaan over het niveau van bescherming dat het Shield biedt. Een resolutie van het Europees Parlement van 5 juli roept op om het Privacy Shield op te schorten, aangezien – zo stelt het Parlement – de Amerikaanse autoriteiten onvoldoende garanties bieden voor naleving. Het is het Parlement een doorn in het oog dat de Ombudsman die toezicht moet houden op de toegang van veiligheidsdiensten tot gegevens van Europese burgers nog steeds niet is benoemd. Er is daarbij een link naar een zeer recente Amerikaanse wet, met de prachtige naam “CLOUD Act” (Clarifying Lawful Overseas Use of Data Act), die een basis moet bieden voor de toegang van Amerikaanse diensten tot gegevens die buiten de VS zijn opgeslagen.

Ook de verantwoordelijk Eurocommissaris, Vera Jourova, laat zich niet onbetuigd: zij eist, zo blijkt uit een uitgelekte brief, dat de Ombudsman per eind oktober is bemoemd.

Ondertussen bereidt de Commissie de jaarlijkse review voor en heeft zij een groot aantal belanghebbenden gevraagd ervaringen met de Privacy Shield te delen. 

Uitwisseling van persoonsgegevens met Japan

Op 17 juli hebben de EU en Japan een overeenkomst gesloten die de uitwisseling van persoonsgegevens tussen de EU en Japan zonder verdere voorwaarden mogelijk moet maken. Deze overeenkomst is uniek, omdat niet alleen de EU verklaart dat het Japanse regime voldoende bescherming biedt (“adequaat” is), maar dat Japan het zelfde verklaart over de EU.

Het is een ambitieus project, hetgeen ’s werelds grootste vrijhandelszone voor gegevens moet creëren. Echter, voor deze zone een feit is, zullen nog een aantal stappen moeten worden gezet. In de EU zullen bijvoorbeeld de EDPB, de lidstaten en ook het Europees Parlement hun advies of instemming moeten geven. Aangezien het een technisch zeer ingewikkeld project is, kan dit nog wel even duren.   

Tot slot

Bij het Europees Hof lopen verschillende procedures die ook het vereiste niveau van bescherming doorgiftes raken. Een nieuwe zaak Schrems (volledig: Facebook Ierland en Schrems) moet antwoord geven op de vraag of bij doorgiftes op basis van standaardclausules het zelfde hoge niveau van bescherming is vereist als bij doorgiftes op basis van adequacy-besluiten (zoals het Privacy Shield en, in de toekomst, het besluit ten aanzien van Japan). Bovendien is in 2017 de rechtsgeldigheid van het Privacy Shield  zelf aangevochten door de Franse ngo “Quadrature du Net”. De procedure loopt nog.