Groen licht voor Privacy Shield

Al eerder blogden wij reeds dat het EU-US Privacy Shield op losse schroeven stond nadat de Artikel 29 werkgroep (WP29), bestaande uit de nationale privacy toezichthouders van de EU-lidstaten, forse kritiek op de overeenkomst had geuit. De afgelopen twee maanden heeft de Europese Commissie wederom met de VS onderhandeld voor betere waarborgen. Men is met veranderingen gekomen in de hoop de sterke twijfels van onder andere de toezichthouders weg te nemen.

Kritiek op eerste voorstel
Het Privacy Shield moet een betere bescherming voor data van EU-burgers in de VS bieden dan Safe Harbor deed. Dat laatste besluit is in oktober 2015 buiten werking gesteld door het Europees Hof van Justitie in de beroemde Schrems-zaak. Het Privacy Shield is, naast de betere bescherming die het biedt, noodzakelijk voor gegevensexport naar buiten de EU. Data van EU-burgers mag namelijk in principe niet naar landen buiten de Europese Economische Ruimte worden geëxporteerd, tenzij het derde land een passend beschermingsniveau biedt. Door het Privacy Shield zouden zich hierbij aangemelde bedrijven in de VS een passend beschermingsniveau moeten bieden, maar zoals genoemd is en was er forse kritiek op het aanvankelijke voorstel.

De kritiek van de toezichthouders van april 2016 was voornamelijk gericht op het feit dat Amerikaanse inlichtingen- en veiligheidsdiensten zes uitzonderingsgronden hadden bedongen waardoor zij in bulk informatie van Europese burgers zouden mogen verzamelen. Het Privacy Shield moest die zorg juist wegnemen, aangezien Safe Harbor onder andere door de onthullingen van Edward Snowden om deze reden ongeldig is verklaard. Het tweede grote kritiekpunt van de WP29 ging over de onafhankelijkheid en de bevoegdheden van de Amerikaanse ombudsman. Die onafhankelijkheid is van groot belang, omdat de ombudsman wordt aangesteld om klachten van Europese burgers te behandelen.

Wijzigingen
Na deze kritiek zag de Europese Commissie zich genoodzaakt om wederom in onderhandeling te gaan met de VS. Vandaag is men met een nieuw voorstel gekomen met vier kernwijzigingen. De wijzigingen zijn:

• De VS onderstreept met een extra document dat zij geen gebruik maakt van surveillance op grote schaal zonder te onderscheiden wat nodig is voor het onderzoek. Ook het in bulk verzamelen van informatie moet zo gericht mogelijk geschieden.
• Er gaan strengere regels gelden voor de doorgifte van Europese data tussen Amerikaanse bedrijven onderling. In sommige gevallen kan een Amerikaans bedrijf dat zich houdt aan de Privacy Shield-beginselen ervoor kiezen een subbewerker in te schakelen. Die subbewerker dient óók een passend beschermingsniveau te bieden én is verplicht melding te maken indien hij dat niet meer doet.
• Persoonsgegevens uit de EU moeten worden verwijderd zodra deze niet meer noodzakelijk zijn voor het initiële doel waarvoor zij verwerkt werden.
• De rol van de Amerikaanse ombudsman is volgens de Europese Commissie verhelderd. Zowel zijn onafhankelijkheid en rol worden in de nieuwe tekst beter geadresseerd.

Exporteert u data naar de Verenigde Staten of bent u van plan dat te doen en heeft u advies nodig over de eisen of over de huidige situatie? Neem dan contact op met onze experts!