Het is officieel. De EU heeft een nieuw akkoord met de Verenigde Staten met betrekking tot het uitwisselen van persoonsgegevens. Gisteren, op 12 juli, nam de Europese Commissie het zogenaamde “Privacy Shield” aan. Dit nieuwe akkoord treedt per direct in werking. Het Safe Harbor besluit is daarmee – ruim negen maanden nadat zij ongeldig werd verklaard – officieel vervangen. Maar is het een waardige vervanger, of is het een lege huls? Beschermt het schild ons tegen de Amerikaanse surveillance-praktijken?

Achtergrond

Het Privacy Shield vervangt de Safe Harbor-regeling, die het Hof van Justitie van de Europese Unie in oktober vorig jaar ongeldig verklaarde in de baanbrekende Schrems-zaak. Kort gezegd, oordeelt het HvJEU dat de VS geen “passend beschermingsniveau” bieden vanwege de handelwijze van de NSA. De eisen van de nationale veiligheid in de VS hebben namelijk altijd voorrang boven de Safe Harbors, en de Snowden-onthullingen hebben laten zien dat de Amerikaanse autoriteiten zich op grote schaal en ongedifferentieerd toegang kunnen verschaffen tot persoonsgegevens van Europese burgers.

Van een “passend beschermingsniveau” is volgens het HvJEU pas sprake als de VS een niveau van bescherming bieden van grondrechten dat in grote lijnen overeenstemt met de Europese normen.

Sinds het Schrems-arrest zijn de Europese Commissie en de Amerikaanse regering druk in de weer om een nieuwe politiek akkoord – het Privacy Shield – tot stand te brengen met betrekking tot de trans-Atlantische uitwisseling van persoonsgegevens.

Kritiek

De eerste versie van het Privacy Shield werd met veel kritiek ontvangen. In april 2016 oordeelt de Werkgroep 29 dat het voorstel onvoldoende waarborgen bevat ter bescherming van de persoonsgegevens van Europese burgers. Het beschermingsniveau kan (nog) niet gezien worden als “essentially equivalent to that of the EU” (zie ook onze eerdere blog).

De kritiek is met name gericht op de algemene, verstrekkende bevoegdheden van de Amerikaanse geheime diensten om (bulk)data te verzamelen. Het Privacy Shield sluit mass surveillance namelijk niet uit. De regels omtrent massaal toezicht zijn, aldus ook de Werkgroep 29, weliswaar een stuk transparanter geworden, maar massa surveillance is nog niet in zijn geheel verboden. Ook de onafhankelijkheid en effectiviteit van de Ombudsman, die klachten zal behandelen, wordt in twijfel getrokken. Niet alleen de werkgroep 29, maar ook de Europese Toezichthouder voor Gegevensbescherming (EDPS) en het Europees Parlement zijn kritisch.

Het definitieve Privacy Shield

Als we de Europese Commissie moeten geloven, komt de definitieve versie van het Privacy Shield tegemoet aan de eerdere kritiek. “We now have a robust framework ensuring [transatlantic data transfers] take place in the best and safest conditions“, aldus de Commissie.

Het schild bevat verplichtingen voor Amerikaanse bedrijven die gegevens van Europese burgers ontvangen. Zo moeten deelnemende bedrijven onder meer voldoen aan informatieplichten , mogen zij gegevens niet zomaar voor verdere doeleinden gebruiken en worden hun praktijken jaarlijks geëvalueerd. Onder het Privacy Shield krijgen Europese burgers bovendien de mogelijkheid om klachten in te dienen bij Amerikaanse bedrijven als zij menen dat hun rechten worden geschonden.

Met betrekking tot de bevoegdheden van de Amerikaanse autoriteiten, bepaalt het Privacy Shield nu dat “bulk collection will only be authorised exceptionally where targeted collection is not feasible, and will be accompanied by additional safeguards to minimise the amount of data collected and subsequent access (which will have to be targeted and only be allowed for specific purposes).”

De Amerikaanse overheid is gebonden aan zes “national security purposes” die kunnen rechtvaardigen dat bulkdata van Europese burgers wordt bewaard en gebruikt. Het schild voorziet bovendien in een Ombudsman die klachten over mogelijke massasurveillance kan onderzoeken.

Is het genoeg?

Dat is de vraag. De zes “national security” doeleinden die de NSA toegang kunnen verschaffen tot Europese gegevens zijn nog steeds zeer breed geformuleerd. “Counterterrorism” is er één van, bijvoorbeeld. Gelet daarop, is het maar de vraag in hoeverre de ruime bevoegdheden van de Amerikaanse autoriteiten daadwerkelijk worden beperkt door het Privacy Shield.

Maximilian Schrems, de initiatiefnemer in de eerder genoemde Schrems-zaak, is daarover duidelijk. Volgens hem is het Privacy Shield volstrekt ontoereikend en komt het beschermingsniveau in de VS niet in de buurt van de Europese normen, zoals het HvJEU wel vereist. Het enkele feit dat het in bulk verzamelen van data überhaupt mogelijk is, is in strijd met EU-recht. Het Privacy Shield is volgens Schrems dan ook niet meer dan een minimale upgrade ten opzichte van de Safe Harbor.

Schrems voorspelt dat het niet lang zal duren voordat de geldigheid van het Privacy Shield wordt aangevochten.

“Privacy Shield is the product of pressure by the US and the IT industry – not of rational or reasonable considerations. It is little more than an little upgrade to Safe Harbor, but not a new deal. It is very likely to fail again, as soon as it reaches the CJEU. This deal is bad for users, which will not enjoy proper privacy protections and bad for businesses, which have to deal with a legally unstable solution. The European Commission and the US government managed to make everyone miserable, when they could have used this opportunity to upgrade the protections that are crucial for consumer trust in online and cloud services.”

Of het Privacy Shield stand zal houden, moet dus nog blijken. To be continued.

Op 13 april jl. bracht Artikel 29 Werkgroep (WP29), de Europese privacy-toezichthouders, een advies uit over het nieuwe Privacy Shield. Het Privacy Shield vormt – zoals je ook kan lezen in onze blogs (hier, hier en hier) – het nieuwe “adeqaatheidsbesluit” voor gegevensuitwisseling tussen de EU en de US en vervangt de ongeldig verklaarde Safe Harbor.

WP29 is kritisch. Hoewel de toezichthouders in eerste instantie het nieuwe besluit verwelkomen, aangezien het “major improvements” biedt ten opzichte van de Safe Harbor, plaatsen zij ook een aantal kritische opmerkingen. Een viertal bezorgheden van WP29 worden hieronder uiteengezet, (1) massale en willekeurige gegevensverzameling nog steeds mogelijk, (2) ontbreken van belangrijke EU beginselen, (3) ineffectieve verhaalmogelijkheid, en (4) onduidelijke en inconsistente formulering.

Massaal en willekeurig toezicht

WP29 is bezorgd over de mogelijkheid om massaal en willekeurig EU gegevens te verzamelen. Het Privacy Shield sluit mass surveillance namelijk niet uit. De regels omtrent massaal toezicht zijn, zo erkent ook WP29, een stuk transparanter geworden maar mass surveillance is nog niet in zijn geheel verboden. Dit is gek want het Hof van Justitie van de EU (HvJ) heeft in de Schrems-zaak duidelijk bepaald dat “veralgemeend toezicht” van autoriteiten tot elektronische communicatie een wezenlijke inbreuk is op het grondrecht privacy, zie ook onze vorige blog.

In het advies wijst WP29 op “its long-standing position that massive and indiscriminate surveillance of individuals can never be considered as proportionate and strictly necessary in a democratic society, as is required under the protection offered by the applicable fundamental rights.” Echter zien de toezichthouders ook dat er een toenemende tendens is voor het massaal verzamelen van informatie met het oog op terrorisme bestrijding. Volgens WP29 zal het HvJ meer duidelijkheid moeten geven over de grenzen van massale en willekeurige gegevensverwerking. Daarnaast adviseert WP29 de Commissie om – op zijn minst – meer duidelijkheid te gegeven over de rechten en plichten uit hoofde van het Privacy Shield.

Ontbreken van belangrijke EU beginselen

Een ander kritiekpunt van de Europese toezichthouders is dat een aantal belangrijke beginselen uit het EU gegevensbeschermingsrecht ontbreken of op een ontoereikende manier worden uitgelegd in het Privacy Shield. Een voorbeeld is het beginsel van dataretentie. Volgens WP29 kan dit beginsel niet duidelijk gelezen worden in de beginselen van data integriteit en doelbeperking. Ook, zo oordeelt WP29, is het doelbeperkingsbeginsel voor het verwerken van persoonsgegevens onduidelijk uiteengezet. Volgens WP29 kunnen deze problemen worden opgelost door een begrippenlijst toe te voegen aan de Veel Gestelde Vragen (FAQ) over het Privacy Shield.

Ineffectieve verhaalmogelijkheid

Verder concludeert WP29 dat de aanvullende verhaalmogelijkheden voor individuen te complex en te ingewikkeld zijn opgesteld en daardoor niet effectief zijn. Geadviseerd wordt om deze procedures te verduidelijken. Ook maakt WP29 zich zorgen over de onafhankelijke rol van de Ombudsman en of deze wel voldoende adequate middelen ter beschikking heeft om zijn taak uit te oefenen.

Onduidelijke formulering

Als laatst merkt WP29 op dat het Privacy Shield lastig te doorgronden is doordat een deel van de informatie is opgenomen in het adequaatheidsbesluit en een ander deel in de bijbehorende bijlagen. Niet alleen is het Shield erg lastig te lezen, ook staan er door deze constructie inconsistente bepalingen in. WP29 heeft daarnaast kritiek op het onduidelijke taalgebruik.

Conclusie van het advies

Volgens WP29 biedt het Privacy Shield nog niet voldoende waarborgen en is het beschermingsniveau niet “essentially equivalent to that of the EU”. WP29 adviseert de Commissie om met passende oplossingen te komen die duidelijkheid verschaffen en een gelijkwaardig beschermingsniveau verzekeren. Het huidige Privacy Shield kan dus niet zonder meer in werking treden, zo oordeelt WP29.

En nu verder?

De Commissie wordt aan het werk gezet. Artikel 31 Comité, een comité bestaande uit vertegenwoordigers van de lidstaten, brengt binnenkort ook een advies uit (naar verwachting in mei). De Commissie heeft aangegeven de adviezen te verwerken in een aangepaste versie van het Privacy Shield en hoopt deze in juni te finaliseren. Het nieuwe Privacy Shield treedt dan direct in werking.

Wij zijn benieuwd hoe de Commissie de kritiekpunten van WP29 in het nieuwe Privacy Shield gaat verwerken en kijken uit naar het advies van Artikel 31 Comité.

In vervolg op onze eerdere blogposts over het Privacy Shield, en de vraag of de concept “adequacy decision” van de Europese Commissie voldoet aan de rechtspraak van het Europese Hof van Justitie inzake Schrems, zoomen we in op het meest controversiële punt: toegang tot Europese persoonsgegevens door Amerikaanse overheidsdiensten.

In Schrems heeft het Hof van Justitie bepaald:

“93   Niet beperkt tot het strikt noodzakelijke is dan ook een regeling die algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in een objectief criterium ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan voor specifieke doeleinden, die strikt beperkt zijn en als rechtvaardiging kunnen dienen voor de inmenging als gevolg van zowel de toegang tot als het gebruik van deze gegevens [zie in die zin, aangaande richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB L 105, blz. 54), arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punten 57‑61].

94     Meer bepaald moet een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd (zie in die zin arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 39).” (onderstreping auteur)

Interessant is het persbericht van de Europese Commissie, waarin de Commissie schetst:

“voor het eerst heeft de regering van de VS de EU via het bureau van de directeur van de nationale inlichtingendienst schriftelijk verzekerd dat voor toegang van overheidsinstanties omwille van de nationale veiligheid duidelijke beperkingen, garanties en toezichtmechanismen zullen gelden, om te voorkomen dat gegevens algemeen toegankelijk worden.” (onderstreping auteur)

Toch blijkt uit de bijlagen bij de “adequacy decision” dat onderschepping in bulk nog steeds mogelijk is:

“PPD-28 also provides that signals intelligence collected in bulk can only be used for six specific purposes: detecting and countering certain activities of foreign powers; counterterrorism; counter-proliferation; cybersecurity; detecting and countering threats to U.S. or allied armed forces; and combatting transnational criminal treats, including sanctions evasions.”

We vragen ons af in hoeverre het benoemen van de zes doeleinden een beperking is ten opzichte van de situatie daarvoor of enkel een explicatie. Met andere woorden: geschiedde toegang die de NSA had tot data van Europese burgers, op basis waarvan het Hof van Jusititie Safe Harbor ongeldig verklaarde, dan niet voor het doeleinde van “counterterrorism” of een van de andere doeleinden opgesomd in PPD-28?

We zijn benieuwd naar de zienswijze van WP29 13/14 april.

In onze blog van 22 februari jl. schreven wij over het “EU/US Privacy Shield”. Er was toen nog weinig bekend over het nieuwe akkoord tussen Europa en de Verenigde Staten met betrekking tot het uitwisselen van persoonsgegevens. Op 29 februari jl. maakte de Europese Commissie de officiële tekst voor de invoering van het ‘schild’ bekend. Hoog tijd om in deze materie te duiken.

Achtergrond Privacy Shield

Het Privacy Shield vervangt de door het Hof van Justitie ongeldig verklaarde Safe Harbor. In de Schrems-zaak bepaalde het Hof van Justitie dat de Safe Harbor geen adequate bescherming biedt en in strijd is met het Europese privacy-kader. Het grootste probleem met Safe Harbor was de algemene toegang van bevoegde nationale autoriteiten tot elektronische communicatie zonder enige beperking (zie Schrems, r.o. 93-94).

De (Europese privacy-toezichthouders verenigd in de) Artikel 29 Werkgroep (WP29) gaf de Europese Commissie tot eind januari jl. om een nieuwe grondslag te ontwikkelen voor de trans-Atlantische uitwisseling van persoonsgegevens. Op 2 februari jl. kondigde de Europese Commissie aan tot een nieuw akkoord te zijn gekomen, het Privacy Shield. Maar is dit nieuwe “adequaatheidsbesluit” wel adequaat genoeg en voldoet het aan de kritiek van het Hof in Schrems?

Inhoud van het Privacy Shield

De vier belangrijke onderwerpen in het Privacy Shield zijn:

(1) Zwaardere verplichtingen voor ondernemingen en handhavingsmogelijkheden (Department of Commerce zal monitoren en Federal Trade Commission kan handhaven voor de Amerikaanse rechter);

(2) Meer waarborgen en transparantie-verplichtingen voor toegang door de overheid van de VS (onder andere door het instellen van een door de Amerikaanse overheid benoemde Ombudspersoon);

(3) Bescherming voor EU burgers door meerdere verhaalmogelijkheden, waaronder het vereiste dat op klachten binnen vaste termijnen wordt gereageerd, toegang tot gefinancierde arbitrage en, in geval van HR-data, toegang tot de eigen DPA;

(4) Een mechanisme voor jaarlijkse evaluatie van naleving van het Privacy Shield door de Europese Commissie en het Amerikaanse Department of Commerce.

Het Privacy Shield is in de kern een zelf-certificeringssysteem waarbij ondernemingen zichzelf committeren aan de “Privacy Principles”. Het besluit beschrijft zeven verschillende beginselen, namelijk de beginselen van Notice, Choice, Security, Data Integrity and Purpose Limitation, Access, Accountability for Onward Transfer en als laatst het beginsel van Recourse, Enforcement and Liability. Het kennisgevingsbeginsel vereist dat een onderneming zijn privacy beleid publiceert en onder meer vermeldt op welke manier persoonsgegevens van individuen worden verwerkt. Onder het keuzebeginsel valt een verplichte opt-out-mogelijkheid voor individuen tegen verstrekking van persoonsgegevens aan derden, het gebruik van de gegevens voor een wezenlijk ander doel en het gebruik voor direct marketing. Ook moet er op basis van dit beginsel een verplichte opt-in zijn voor het verwerken van gevoelige persoonsgegevens.

Het akkoord is nog niet van kracht. De Europese Commissie neemt uiteindelijk de beslissing of het Privacy Shield aangenomen wordt. Voorafgaand wordt een advies van WP29 verwacht. Dit advies is niet bindend maar wel gezaghebbend op privacy-gebied.

Reactie WP29

Het adequaatheidsbesluit wordt op dit moment beoordeeld door WP29 en een advies wordt verwacht op 12 of 13 april aanstaande. Tijdens een publiek debat op 17 maart 2016 van de Europese Commissie voor Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken (“LIBE Commissie”) over het Privacy Shield gaf de voorzitter van WP29 aan zich zorgen te maken over de afwezigheid van regels met betrekking tot het bewaren van gegevens en de bevoegdheden en onafhankelijkheid van de nieuwe ombudsman. Deze bezorgdheid werd uitgesproken voordat de volledige tekst van het Privacy Shield beschikbaar was. Het wordt spannend om te zien of deze bezorgdheid is afgenomen en of WP29 een positief advies uitbrengt over huidige akkoord.

Reacties in de praktijk

In de praktijk is het Privacy Shield niet goed ontvangen. Schrems, de aanstichter van de ongeldig verklaarde safe harbor, bekritiseert het akkoord en is van mening dat het niet voldoet aan de vereisten die het Hof gesteld heeft in de Schrems-zaak. De Europese Commissie claimt dat er geen sprake meer is van het verzamelen van bulk data maar Schrems beschrijft in zijn kritische blog dat er nog steeds zes gevallen zijn waarin het verzamelen van bulk data is toegestaan, waaronder terrorismebestrijding, cyberveiligheid, het opsporen en tegengaan van bedreigingen voor de VS en de bestrijding van grensoverschrijdende criminele bedreigingen. Volgens Schrems zijn deze uitzonderingen zo breed gedefinieerd dat ze niet voldoen aan het voornaamste kritiekpunt van het Hof, namelijk de onbegrensde toegang van Amerikaanse autoriteiten tot persoonsgegevens van Europese burgers. Ook Bits of Freedom, de Nederlandse burgerrechtenbeweging die opkomt voor de privacy van burgers, vindt dat het nieuwe akkoord niet voldoet aan de Europese regelgeving omtrent gegevensbescherming.

Het wordt interessant om te zien of het Privacy Shield in stand blijft en bestand is tegen de vele kritieken. Het advies van WP29 vormt hierin een belangrijke schakel en wij zijn benieuwd of de bezorgdheden van de voorzitter zijn weggenomen met het publiceren van de volledige wettekst. We kijken uit naar 13 of 14 april.

Het Privacy Shield. Ondoordringbaar klinkt het, en Star-Wars-achtig. Dat was althans de bedoeling van Eurocommissaris Jourová. Na de ongeldigverklaring van Safe Harbor door het Hof van Justitie in de Schrems-zaak op 6 oktober jl., kondigden de Europese privacy-toezichthouders, de Artikel 29 Werkgroep (WP29), aan tot eind januari niet te zullen handhaven, in afwachting van een nieuwe basis voor trans-Atlantische gegevensuitwisseling. In een race tegen de klok heeft de Europese Commissie op 2 februari 2016 bekendgemaakt dat zij tot een akkoord is gekomen met de Verenigde Staten over een nieuwe juridische basis voor EU/VS-gegevensstromen.

Wat is het Privacy Shield?

Dat weten we nog niet precies, aangezien er enkel nog een persbericht is en nog geen officiële tekst. In de “tweede helft van februari” zal de tekst van het Privacy Shield worden “onthuld”. Het voorgestelde kader bestaat in ieder geval uit de drie volgende elementen:

• Strengere verplichtingen voor ondernemingen in de Verenigde Staten die persoonsgegevens van Europeanen verwerken en krachtige handhaving; Het Department of Commerce zal erop toezien dat ondernemingen hun verbintenissen bekendmaken, zodat de nakoming daarvan op grond van de Amerikaanse wetgeving kan worden afgedwongen door de Federal Trade Commission.
• Duidelijke waarborgen en transparantieverplichtingen inzake de toegang van de Amerikaanse overheid; De Verenigde Staten heeft uitgesloten dat persoonsgegevens die in het kader van de nieuwe regeling naar de Verenigde Staten worden doorgegeven, willekeurig en op grote schaal worden gecontroleerd.
• Effectieve bescherming van de rechten van EU-burgers met diverse beroepsmogelijkheden. Ondernemingen moeten binnen een bepaalde termijn op klachten reageren. Europese gegevensbeschermingsautoriteiten kunnen klachten doorverwijzen naar het Department of Commerce en de Federal Trade Commission. Bovendien zal alternatieve geschillenbeslechting gratis zijn. Voor klachten over de mogelijke toegang van nationale inlichtingendiensten zal een nieuwe ombudsman worden ingesteld.
  

Lauwe ontvangst

Eigenlijk lijkt alleen de Europese Commissie enthousiast over het Privacy Shield. Critici noemen het wel de uitverkoop van grondrechten van Europese burgers of de capitulatie van de Europese Unie aan de Verenigde Staten. De toezegging van de Amerikaanse regering dat gegevens van Europese burgers niet op grote schaal worden gecontroleerd, zou, anders dan door de Europese Commissie betoogd, niet nieuw zijn en bij het Hof van Justitie bekend ten tijde van de Schrems-uitspraak. Ook is de vraag hoe effectief de bescherming kan zijn voor Europese burgers voor zover het zal gaan om Amerikaans recht dat van toepassing is op Amerikaanse burgers en inwoners.

Hoe nu verder?

Het college van de Europese Commissie heeft vicevoorzitter Ansip en commissaris Jourová opgedragen de komende weken een ontwerp op te stellen voor een “adequaatheidsbesluit”. Dit zal dan, na advies van de WP29 en raadpleging van een uit vertegenwoordigers van de lidstaten bestaand comité, door het college van de Europese Commissie kunnen worden goedgekeurd. Overigens heeft WP29 nog niet inhoudelijk op het voorstel gereageerd. De voorzitter van de groep, Isabelle Falque-Pierrotin, heeft aangegeven pas in te gaan op het akkoord als zij beschikking heeft over de officiële documenten.

Er zal nog enige tijd verstrijken voordat de regeling effectief is, wat betekent dat de onzekerheid zeker tot halverwege april zal voortduren, aldus de voorzitter van de WP29. De bestaande instrumenten voor trans-Atlantische gegevensstromen, namelijk de EC-modelcontracten en Binding Corporate Rules (BCR’s), worden in ieder geval tot die tijd geaccepteerd door de WP29. Wel kunnen toezichthouders volgens Falque-Pierrotin optreden tegen bedrijven die nu nog werken op basis van de ongeldig verklaarde Safe Harbor-regeling.

Met dank aan Kirsten Gerhards