Op 2 februari hebben de onderhandelaars van de Europese Unie en Verenigde Staten politieke overeenstemming bereikt over een ‘nieuwe’ Safe Harbor overeenkomst: het EU-US Privacy Shield. Op basis hiervan zal de overdracht van persoonsgegevens naar de andere kant van de Atlantische oceaan (weer) geoorloofd zijn. Het Privacy Shield werd op dezelfde dag gepresenteerd aan het College van Commissarissen van de Europese Commissie en later aan de Artikel 29 Werkgroep, waarin de gegevensbescherming autoriteiten van de 28 EU-lidstaten zijn vertegenwoordigd. De definitieve tekst is nog niet bekend, maar er wordt al veel over gespeculeerd: is het Privacy Shield realistisch en waarborgt het in voldoende mate de privacy van EU-burgers?
De hoofdlijnen van het EU-US Privacy Shield zijn via een persbericht van de Europese Commissie bekend gemaakt. Amerikaanse bedrijven die persoonsgegevens van EU-burgers willen verwerken binnen de VS moeten voldoen aan strikte voorwaarden omtrent de verwerking van persoonsgegevens en de wijze waarop de rechten van de burgers zijn gewaarborgd.
Daarnaast worden er verplichtingen aan de Amerikaanse overheid opgelegd waarbij transparantie over toegang tot de gegevens geboden is. De Amerikaanse overheid mag niet langer zomaar gegevens aan een ‘massa-surveillance’ onderwerpen. Slechts in sommige gevallen zijn uitzonderingen hierop toegestaan. Een beroep op zo’n uitzondering kan enkel slagen wanneer inzage in persoonsgegevens van EU-burgers noodzakelijk is en aan het beginsel van proportionaliteit is voldaan. Waarschijnlijk is het aan de VS zelf om te oordelen of inzage proportioneel is.
Hier is dan ook veel kritiek op. Hoe aan het beginsel van proportionaliteit invulling zal worden gegeven, is nog niet bekend. Wanneer de details de komende tijd duidelijk worden, valt er inhoudelijk meer over te zeggen. Max Schrems, de Oostenrijkse student wiens klacht uiteindelijk leidde tot de ongeldigverklaring van de Safe Harbor overeenkomst op 6 oktober 2015, zei hierover:
“Ik denk niet dat deze overeenkomst een rechtszaak overleefd. De onderhandelaars negeren simpelweg de uitspraak van het Europese Hof van Justitie en proberen alleen maar tijd te winnen. Wat gisteren gepresenteerd is, is lachwekkend.”
Tot vorige week was er vooral de druk om tot overeenstemming te komen. Het is afwachten of ook de Autoriteit Persoonsgegevens uiteindelijk tevreden zal zijn met de overeenkomst en de waarborgen voor de burgers die hierin neergelegd zijn.
Indien het Privacy Shield door het College van Commissarissen is goedgekeurd, gaan de vicepresident van de Europese Commissie Andrus Ansip en Eurocommissaris VÄ›ra Jourová de benodigde stappen nemen om de nieuwe overeenkomst in werking te laten treden. Tot dit moment ligt er dus alleen een politiek akkoord. Dit houdt in dat het Privacy Shield – vooralsnog – niet in de praktijk gebruikt kan worden. Wat tot die tijd wel een geldige basis is voor gegevensoverdracht naar de VS, leest u in de volgende blog!