Visie

Het nieuwe Privacy Shield: gaat het ons beschermen?

Het is officieel. De EU heeft een nieuw akkoord met de Verenigde Staten met betrekking tot het uitwisselen van persoonsgegevens. Gisteren, op 12 juli, nam de Europese Commissie het zogenaamde “Privacy Shield” aan. Dit nieuwe akkoord treedt per direct in werking. Het Safe Harbor besluit is daarmee – ruim negen maanden nadat zij ongeldig werd verklaard – officieel vervangen. Maar is het een waardige vervanger, of is het een lege huls? Beschermt het schild ons tegen de Amerikaanse surveillance-praktijken?

Achtergrond

Het Privacy Shield vervangt de Safe Harbor-regeling, die het Hof van Justitie van de Europese Unie in oktober vorig jaar ongeldig verklaarde in de baanbrekende Schrems-zaak. Kort gezegd, oordeelt het HvJEU dat de VS geen “passend beschermingsniveau” bieden vanwege de handelwijze van de NSA. De eisen van de nationale veiligheid in de VS hebben namelijk altijd voorrang boven de Safe Harbors, en de Snowden-onthullingen hebben laten zien dat de Amerikaanse autoriteiten zich op grote schaal en ongedifferentieerd toegang kunnen verschaffen tot persoonsgegevens van Europese burgers.

Van een “passend beschermingsniveau” is volgens het HvJEU pas sprake als de VS een niveau van bescherming bieden van grondrechten dat in grote lijnen overeenstemt met de Europese normen.

Sinds het Schrems-arrest zijn de Europese Commissie en de Amerikaanse regering druk in de weer om een nieuwe politiek akkoord – het Privacy Shield – tot stand te brengen met betrekking tot de trans-Atlantische uitwisseling van persoonsgegevens.

Kritiek

De eerste versie van het Privacy Shield werd met veel kritiek ontvangen. In april 2016 oordeelt de Werkgroep 29 dat het voorstel onvoldoende waarborgen bevat ter bescherming van de persoonsgegevens van Europese burgers. Het beschermingsniveau kan (nog) niet gezien worden als “essentially equivalent to that of the EU” (zie ook onze eerdere blog).

De kritiek is met name gericht op de algemene, verstrekkende bevoegdheden van de Amerikaanse geheime diensten om (bulk)data te verzamelen. Het Privacy Shield sluit mass surveillance namelijk niet uit. De regels omtrent massaal toezicht zijn, aldus ook de Werkgroep 29, weliswaar een stuk transparanter geworden, maar massa surveillance is nog niet in zijn geheel verboden. Ook de onafhankelijkheid en effectiviteit van de Ombudsman, die klachten zal behandelen, wordt in twijfel getrokken. Niet alleen de werkgroep 29, maar ook de Europese Toezichthouder voor Gegevensbescherming (EDPS) en het Europees Parlement zijn kritisch.

Het definitieve Privacy Shield

Als we de Europese Commissie moeten geloven, komt de definitieve versie van het Privacy Shield tegemoet aan de eerdere kritiek. “We now have a robust framework ensuring [transatlantic data transfers] take place in the best and safest conditions“, aldus de Commissie.

Het schild bevat verplichtingen voor Amerikaanse bedrijven die gegevens van Europese burgers ontvangen. Zo moeten deelnemende bedrijven onder meer voldoen aan informatieplichten , mogen zij gegevens niet zomaar voor verdere doeleinden gebruiken en worden hun praktijken jaarlijks geëvalueerd. Onder het Privacy Shield krijgen Europese burgers bovendien de mogelijkheid om klachten in te dienen bij Amerikaanse bedrijven als zij menen dat hun rechten worden geschonden.

Met betrekking tot de bevoegdheden van de Amerikaanse autoriteiten, bepaalt het Privacy Shield nu dat “bulk collection will only be authorised exceptionally where targeted collection is not feasible, and will be accompanied by additional safeguards to minimise the amount of data collected and subsequent access (which will have to be targeted and only be allowed for specific purposes).”

De Amerikaanse overheid is gebonden aan zes “national security purposes” die kunnen rechtvaardigen dat bulkdata van Europese burgers wordt bewaard en gebruikt. Het schild voorziet bovendien in een Ombudsman die klachten over mogelijke massasurveillance kan onderzoeken.

Is het genoeg?

Dat is de vraag. De zes “national security” doeleinden die de NSA toegang kunnen verschaffen tot Europese gegevens zijn nog steeds zeer breed geformuleerd. “Counterterrorism” is er één van, bijvoorbeeld. Gelet daarop, is het maar de vraag in hoeverre de ruime bevoegdheden van de Amerikaanse autoriteiten daadwerkelijk worden beperkt door het Privacy Shield.

Maximilian Schrems, de initiatiefnemer in de eerder genoemde Schrems-zaak, is daarover duidelijk. Volgens hem is het Privacy Shield volstrekt ontoereikend en komt het beschermingsniveau in de VS niet in de buurt van de Europese normen, zoals het HvJEU wel vereist. Het enkele feit dat het in bulk verzamelen van data überhaupt mogelijk is, is in strijd met EU-recht. Het Privacy Shield is volgens Schrems dan ook niet meer dan een minimale upgrade ten opzichte van de Safe Harbor.

Schrems voorspelt dat het niet lang zal duren voordat de geldigheid van het Privacy Shield wordt aangevochten.

Privacy Shield is the product of pressure by the US and the IT industry – not of rational or reasonable considerations. It is little more than an little upgrade to Safe Harbor, but not a new deal. It is very likely to fail again, as soon as it reaches the CJEU. This deal is bad for users, which will not enjoy proper privacy protections and bad for businesses, which have to deal with a legally unstable solution. The European Commission and the US government managed to make everyone miserable, when they could have used this opportunity to upgrade the protections that are crucial for consumer trust in online and cloud services.”

Of het Privacy Shield stand zal houden, moet dus nog blijken. To be continued.

Visie

Een kritisch advies van WP29 over het Privacy Shield

Op 13 april jl. bracht Artikel 29 Werkgroep (WP29), de Europese privacy-toezichthouders, een advies uit over het nieuwe Privacy Shield. Het Privacy Shield vormt – zoals je ook kan lezen in onze blogs (hier, hier en hier) – het nieuwe “adeqaatheidsbesluit” voor gegevensuitwisseling tussen de EU en de US en vervangt de ongeldig verklaarde Safe Harbor.

WP29 is kritisch. Hoewel de toezichthouders in eerste instantie het nieuwe besluit verwelkomen, aangezien het “major improvements” biedt ten opzichte van de Safe Harbor, plaatsen zij ook een aantal kritische opmerkingen. Een viertal bezorgheden van WP29 worden hieronder uiteengezet, (1) massale en willekeurige gegevensverzameling nog steeds mogelijk, (2) ontbreken van belangrijke EU beginselen, (3) ineffectieve verhaalmogelijkheid, en (4) onduidelijke en inconsistente formulering.

Massaal en willekeurig toezicht

WP29 is bezorgd over de mogelijkheid om massaal en willekeurig EU gegevens te verzamelen. Het Privacy Shield sluit mass surveillance namelijk niet uit. De regels omtrent massaal toezicht zijn, zo erkent ook WP29, een stuk transparanter geworden maar mass surveillance is nog niet in zijn geheel verboden. Dit is gek want het Hof van Justitie van de EU (HvJ) heeft in de Schrems-zaak duidelijk bepaald dat “veralgemeend toezicht” van autoriteiten tot elektronische communicatie een wezenlijke inbreuk is op het grondrecht privacy, zie ook onze vorige blog.

In het advies wijst WP29 op “its long-standing position that massive and indiscriminate surveillance of individuals can never be considered as proportionate and strictly necessary in a democratic society, as is required under the protection offered by the applicable fundamental rights.” Echter zien de toezichthouders ook dat er een toenemende tendens is voor het massaal verzamelen van informatie met het oog op terrorisme bestrijding. Volgens WP29 zal het HvJ meer duidelijkheid moeten geven over de grenzen van massale en willekeurige gegevensverwerking. Daarnaast adviseert WP29 de Commissie om – op zijn minst – meer duidelijkheid te gegeven over de rechten en plichten uit hoofde van het Privacy Shield.

Ontbreken van belangrijke EU beginselen

Een ander kritiekpunt van de Europese toezichthouders is dat een aantal belangrijke beginselen uit het EU gegevensbeschermingsrecht ontbreken of op een ontoereikende manier worden uitgelegd in het Privacy Shield. Een voorbeeld is het beginsel van dataretentie. Volgens WP29 kan dit beginsel niet duidelijk gelezen worden in de beginselen van data integriteit en doelbeperking. Ook, zo oordeelt WP29, is het doelbeperkingsbeginsel voor het verwerken van persoonsgegevens onduidelijk uiteengezet. Volgens WP29 kunnen deze problemen worden opgelost door een begrippenlijst toe te voegen aan de Veel Gestelde Vragen (FAQ) over het Privacy Shield.

Ineffectieve verhaalmogelijkheid

Verder concludeert WP29 dat de aanvullende verhaalmogelijkheden voor individuen te complex en te ingewikkeld zijn opgesteld en daardoor niet effectief zijn. Geadviseerd wordt om deze procedures te verduidelijken. Ook maakt WP29 zich zorgen over de onafhankelijke rol van de Ombudsman en of deze wel voldoende adequate middelen ter beschikking heeft om zijn taak uit te oefenen.

Onduidelijke formulering

Als laatst merkt WP29 op dat het Privacy Shield lastig te doorgronden is doordat een deel van de informatie is opgenomen in het adequaatheidsbesluit en een ander deel in de bijbehorende bijlagen. Niet alleen is het Shield erg lastig te lezen, ook staan er door deze constructie inconsistente bepalingen in. WP29 heeft daarnaast kritiek op het onduidelijke taalgebruik.

Conclusie van het advies

Volgens WP29 biedt het Privacy Shield nog niet voldoende waarborgen en is het beschermingsniveau niet “essentially equivalent to that of the EU”. WP29 adviseert de Commissie om met passende oplossingen te komen die duidelijkheid verschaffen en een gelijkwaardig beschermingsniveau verzekeren. Het huidige Privacy Shield kan dus niet zonder meer in werking treden, zo oordeelt WP29.

En nu verder?

De Commissie wordt aan het werk gezet. Artikel 31 Comité, een comité bestaande uit vertegenwoordigers van de lidstaten, brengt binnenkort ook een advies uit (naar verwachting in mei). De Commissie heeft aangegeven de adviezen te verwerken in een aangepaste versie van het Privacy Shield en hoopt deze in juni te finaliseren. Het nieuwe Privacy Shield treedt dan direct in werking.

Wij zijn benieuwd hoe de Commissie de kritiekpunten van WP29 in het nieuwe Privacy Shield gaat verwerken en kijken uit naar het advies van Artikel 31 Comité.

Naar
boven