HOE JE KIJKT, BEPAALT WAT JE ZIET

Esther Veenhouwer [45]
Manager Juridische Zaken

Update VS en privacy in drie minuten

​Deze keer een ander gezicht. Deze blog is van Laurens Brussee. Hij is werkzaam voor onze afdeling. Profielfoto-LC-Brussee-2-262x262 (2).jpg

Update VS en privacy in drie minuten
De  uitwisseling van persoonsgegevens met bedrijven in Amerika is al enige tijd een hot topic.
Er zijn weer nieuwe ontwikkelingen, maar daarmee is de rust nog niet weergekeerd. Tijd voor een update.

Je hebt mogelijk over iets van ‘Safe Harbor’ gehoord, maar inmiddels ben je kwijt waar het allemaal over ging. Met deze update ben je weer bij.
In Europa kennen we regels die voor alle landen binnen de Europese Economische Ruimte (EER) gelden. Die regels bepalen onder meer hoe organisaties met persoonsgegevens moeten omgaan. Daarmee worden burgers beschermd tegen handelingen met hun gegevens die een inbreuk kunnen maken op hun privéleven. Zo mogen bedrijven niet zomaar gegevens over je gezondheid opslaan of een profiel van iemands voorkeuren opbouwen.
De Europese regels schrijven voor dat bedrijven  buiten de EER alleen persoonsgegevens EER-burgers mogen verwerken, als zij een vergelijkbaar beschermingsniveau bieden als dat van de Europese regels. De Europese Commissie kan een verklaring afgeven waarmee zij aangeeft dat een land een voldoende beschermingsniveau biedt. Dan mogen bedrijven in dat land persoonsgegevens van EER-burgers verwerken zonder dat er aanvullende waarborgen zijn vereist.  Voor de verwerking van persoonsgegevens in de VS bestond sinds 2000 zo’n verklaring van de Commissie: het Safe Harbor besluit.
 
Safe Harbour
De Europese Commissie heeft in het jaar 2000 aangegeven dat de “Safe Harbor Privacy Principles”, uitgegeven door het Amerikaanse ministerie van handel, een passend beschermingsniveau bieden voor de verwerking van persoonsgegevens in de VS. Amerikaanse bedrijven die zich hadden verbonden aan het Safe Harbor programma, konden zonder verdere eisen persoonsgegevens van EER burgers verwerken. Veel cloud-diensten en sociale platformen konden daarom ongestoord gegevens van Europese burgers opslaan op servers in Amerika.
In oktober 2015 heeft het Europees Hof van Justitie dat besluit van de Europese Commissie ongeldig verklaard. Het Hof vond dat de Europese Commissie onvoldoende had onderzocht of de VS wel voldoende bescherming bood in haar wetgeving en internationale verdragen. De onthullingen van Snowden pleitten niet bepaald in het voordeel van de VS als het gaat om de bescherming van gegevens van burgers.
De Europese Commissie moest dus weer aan het werk. Zij probeerde snel weer een nieuwe regeling met de VS op te zetten, zodat bedrijven zo min mogelijk hinder zouden ondervinden van het ongeldig worden van de Safe Harbor deal.
 
Privacy Shield
De Europese Commissie presenteerde een nieuwe set aan afspraken met de VS: het ‘Privacy Shield’. De eerste versie daarvan werd door veel partijen sterk bekritiseerd. Vervolgens heeft de Commissie op 12 juli 2016 een aangepaste versie van het Privacy Shield goedgekeurd. De afspraken in dit Privacy Shield bieden volgens de Europese Commissie een beschermingsniveau dat vergelijkbaar is met de bescherming van de persoonsgegevens binnen de EER. Vanaf 1 augustus 2016 kunnen Amerikaanse bedrijven zich aanmelden voor zelf-certificering onder het Privacy Shield. Zodra ze zijn geregistreerd, kunnen zij onder de afspraken van het Privacy Shield persoonsgegevens van EER burgers verwerken.
 
En nu…?
De rust lijkt met de goedkeuring van het Privacy Shield te zijn weergekeerd. Zelfs toezichthouders lijken zich gedeisd te houden, ondanks het feit dat het huidige Privacy Shield niet al hun bezwaren heeft weggenomen. Zij kijken uit naar de jaarlijkse evaluatie van de regeling, het moment waarop duidelijk moet worden of de regeling in de praktijk voldoet.
Maar de rust kan van korte duur zijn. De afspraken in het Privacy Shield liggen onder vuur en de kans bestaat dat het Europees Hof van Justitie opnieuw de afspraken met Amerika kritisch moet beoordelen. Bijvoorbeeld als iemand een vergelijkbare zaak aanspant als bij het Safe Harbor besluit. Het is de vraag of het Privacy Shield dan nog overeind zal blijven. Zo niet, dan zijn we terug bij af.
 
Er zijn alternatieven om persoonsgegevens uit te wisselen met bedrijven buiten de EER. Zo kunnen bedrijven gebruik maken van door de Europese Commissie goedgekeurde modelcontracten: de EU Model Clauses. Maar ook die aanpak ligt onder vuur. Een recente klacht over het gebruik van die Model Clauses door Facebook kan leiden tot beoordeling van die Model Clauses door het Europese Hof van Justitie. De kans is groot dat het Hof dan zal oordelen dat ook de Model Clauses onvoldoende waarborgen bieden voor de bescherming van persoonsgegevens van EER-burgers.
 
Er zijn nog meer alternatieven, maar die zijn erg omslachtig en kostbaar om uit te voeren. Het blijft daarom een zaak van afwachten tot er weer een nieuwe uitspraak van een toezichthouder of het Europees Hof van Justitie komt. Tot die tijd zal er onzekerheid blijven bestaan over hoe lang Amerikaanse bedrijven op een rechtmatige wijze gegevens van Europese burgers kunnen verwerken. En zolang die onzekerheid blijft bestaan, is het aantrekkelijker om alle persoonsgegevens binnen de EER te houden.
 
 

Opmerkingen

Er zijn geen opmerkingen bij dit bericht.

Opmerking toevoegen

Titel


Hoofdtekst *


Bijlagen

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code