Het Privacy Shield. Ondoordringbaar klinkt het, en Star-Wars-achtig. Dat was althans de bedoeling van Eurocommissaris Jourová. Na de ongeldigverklaring van Safe Harbor door het Hof van Justitie in de Schrems-zaak op 6 oktober jl., kondigden de Europese privacy-toezichthouders, de Artikel 29 Werkgroep (WP29), aan tot eind januari niet te zullen handhaven, in afwachting van een nieuwe basis voor trans-Atlantische gegevensuitwisseling. In een race tegen de klok heeft de Europese Commissie op 2 februari 2016 bekendgemaakt dat zij tot een akkoord is gekomen met de Verenigde Staten over een nieuwe juridische basis voor EU/VS-gegevensstromen.

Wat is het Privacy Shield?

Dat weten we nog niet precies, aangezien er enkel nog een persbericht is en nog geen officiële tekst. In de “tweede helft van februari” zal de tekst van het Privacy Shield worden “onthuld”. Het voorgestelde kader bestaat in ieder geval uit de drie volgende elementen:

• Strengere verplichtingen voor ondernemingen in de Verenigde Staten die persoonsgegevens van Europeanen verwerken en krachtige handhaving; Het Department of Commerce zal erop toezien dat ondernemingen hun verbintenissen bekendmaken, zodat de nakoming daarvan op grond van de Amerikaanse wetgeving kan worden afgedwongen door de Federal Trade Commission.
• Duidelijke waarborgen en transparantieverplichtingen inzake de toegang van de Amerikaanse overheid; De Verenigde Staten heeft uitgesloten dat persoonsgegevens die in het kader van de nieuwe regeling naar de Verenigde Staten worden doorgegeven, willekeurig en op grote schaal worden gecontroleerd.
• Effectieve bescherming van de rechten van EU-burgers met diverse beroepsmogelijkheden. Ondernemingen moeten binnen een bepaalde termijn op klachten reageren. Europese gegevensbeschermingsautoriteiten kunnen klachten doorverwijzen naar het Department of Commerce en de Federal Trade Commission. Bovendien zal alternatieve geschillenbeslechting gratis zijn. Voor klachten over de mogelijke toegang van nationale inlichtingendiensten zal een nieuwe ombudsman worden ingesteld.
  

Lauwe ontvangst

Eigenlijk lijkt alleen de Europese Commissie enthousiast over het Privacy Shield. Critici noemen het wel de uitverkoop van grondrechten van Europese burgers of de capitulatie van de Europese Unie aan de Verenigde Staten. De toezegging van de Amerikaanse regering dat gegevens van Europese burgers niet op grote schaal worden gecontroleerd, zou, anders dan door de Europese Commissie betoogd, niet nieuw zijn en bij het Hof van Justitie bekend ten tijde van de Schrems-uitspraak. Ook is de vraag hoe effectief de bescherming kan zijn voor Europese burgers voor zover het zal gaan om Amerikaans recht dat van toepassing is op Amerikaanse burgers en inwoners.

Hoe nu verder?

Het college van de Europese Commissie heeft vicevoorzitter Ansip en commissaris Jourová opgedragen de komende weken een ontwerp op te stellen voor een “adequaatheidsbesluit”. Dit zal dan, na advies van de WP29 en raadpleging van een uit vertegenwoordigers van de lidstaten bestaand comité, door het college van de Europese Commissie kunnen worden goedgekeurd. Overigens heeft WP29 nog niet inhoudelijk op het voorstel gereageerd. De voorzitter van de groep, Isabelle Falque-Pierrotin, heeft aangegeven pas in te gaan op het akkoord als zij beschikking heeft over de officiële documenten.

Er zal nog enige tijd verstrijken voordat de regeling effectief is, wat betekent dat de onzekerheid zeker tot halverwege april zal voortduren, aldus de voorzitter van de WP29. De bestaande instrumenten voor trans-Atlantische gegevensstromen, namelijk de EC-modelcontracten en Binding Corporate Rules (BCR’s), worden in ieder geval tot die tijd geaccepteerd door de WP29. Wel kunnen toezichthouders volgens Falque-Pierrotin optreden tegen bedrijven die nu nog werken op basis van de ongeldig verklaarde Safe Harbor-regeling.

Met dank aan Kirsten Gerhards