In onze blog van 22 februari jl. schreven wij over het “EU/US Privacy Shield”. Er was toen nog weinig bekend over het nieuwe akkoord tussen Europa en de Verenigde Staten met betrekking tot het uitwisselen van persoonsgegevens. Op 29 februari jl. maakte de Europese Commissie de officiële tekst voor de invoering van het ‘schild’ bekend. Hoog tijd om in deze materie te duiken.

Achtergrond Privacy Shield

Het Privacy Shield vervangt de door het Hof van Justitie ongeldig verklaarde Safe Harbor. In de Schrems-zaak bepaalde het Hof van Justitie dat de Safe Harbor geen adequate bescherming biedt en in strijd is met het Europese privacy-kader. Het grootste probleem met Safe Harbor was de algemene toegang van bevoegde nationale autoriteiten tot elektronische communicatie zonder enige beperking (zie Schrems, r.o. 93-94).

De (Europese privacy-toezichthouders verenigd in de) Artikel 29 Werkgroep (WP29) gaf de Europese Commissie tot eind januari jl. om een nieuwe grondslag te ontwikkelen voor de trans-Atlantische uitwisseling van persoonsgegevens. Op 2 februari jl. kondigde de Europese Commissie aan tot een nieuw akkoord te zijn gekomen, het Privacy Shield. Maar is dit nieuwe “adequaatheidsbesluit” wel adequaat genoeg en voldoet het aan de kritiek van het Hof in Schrems?

Inhoud van het Privacy Shield

De vier belangrijke onderwerpen in het Privacy Shield zijn:

(1) Zwaardere verplichtingen voor ondernemingen en handhavingsmogelijkheden (Department of Commerce zal monitoren en Federal Trade Commission kan handhaven voor de Amerikaanse rechter);

(2) Meer waarborgen en transparantie-verplichtingen voor toegang door de overheid van de VS (onder andere door het instellen van een door de Amerikaanse overheid benoemde Ombudspersoon);

(3) Bescherming voor EU burgers door meerdere verhaalmogelijkheden, waaronder het vereiste dat op klachten binnen vaste termijnen wordt gereageerd, toegang tot gefinancierde arbitrage en, in geval van HR-data, toegang tot de eigen DPA;

(4) Een mechanisme voor jaarlijkse evaluatie van naleving van het Privacy Shield door de Europese Commissie en het Amerikaanse Department of Commerce.

Het Privacy Shield is in de kern een zelf-certificeringssysteem waarbij ondernemingen zichzelf committeren aan de “Privacy Principles”. Het besluit beschrijft zeven verschillende beginselen, namelijk de beginselen van Notice, Choice, Security, Data Integrity and Purpose Limitation, Access, Accountability for Onward Transfer en als laatst het beginsel van Recourse, Enforcement and Liability. Het kennisgevingsbeginsel vereist dat een onderneming zijn privacy beleid publiceert en onder meer vermeldt op welke manier persoonsgegevens van individuen worden verwerkt. Onder het keuzebeginsel valt een verplichte opt-out-mogelijkheid voor individuen tegen verstrekking van persoonsgegevens aan derden, het gebruik van de gegevens voor een wezenlijk ander doel en het gebruik voor direct marketing. Ook moet er op basis van dit beginsel een verplichte opt-in zijn voor het verwerken van gevoelige persoonsgegevens.

Het akkoord is nog niet van kracht. De Europese Commissie neemt uiteindelijk de beslissing of het Privacy Shield aangenomen wordt. Voorafgaand wordt een advies van WP29 verwacht. Dit advies is niet bindend maar wel gezaghebbend op privacy-gebied.

Reactie WP29

Het adequaatheidsbesluit wordt op dit moment beoordeeld door WP29 en een advies wordt verwacht op 12 of 13 april aanstaande. Tijdens een publiek debat op 17 maart 2016 van de Europese Commissie voor Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken (“LIBE Commissie”) over het Privacy Shield gaf de voorzitter van WP29 aan zich zorgen te maken over de afwezigheid van regels met betrekking tot het bewaren van gegevens en de bevoegdheden en onafhankelijkheid van de nieuwe ombudsman. Deze bezorgdheid werd uitgesproken voordat de volledige tekst van het Privacy Shield beschikbaar was. Het wordt spannend om te zien of deze bezorgdheid is afgenomen en of WP29 een positief advies uitbrengt over huidige akkoord.

Reacties in de praktijk

In de praktijk is het Privacy Shield niet goed ontvangen. Schrems, de aanstichter van de ongeldig verklaarde safe harbor, bekritiseert het akkoord en is van mening dat het niet voldoet aan de vereisten die het Hof gesteld heeft in de Schrems-zaak. De Europese Commissie claimt dat er geen sprake meer is van het verzamelen van bulk data maar Schrems beschrijft in zijn kritische blog dat er nog steeds zes gevallen zijn waarin het verzamelen van bulk data is toegestaan, waaronder terrorismebestrijding, cyberveiligheid, het opsporen en tegengaan van bedreigingen voor de VS en de bestrijding van grensoverschrijdende criminele bedreigingen. Volgens Schrems zijn deze uitzonderingen zo breed gedefinieerd dat ze niet voldoen aan het voornaamste kritiekpunt van het Hof, namelijk de onbegrensde toegang van Amerikaanse autoriteiten tot persoonsgegevens van Europese burgers. Ook Bits of Freedom, de Nederlandse burgerrechtenbeweging die opkomt voor de privacy van burgers, vindt dat het nieuwe akkoord niet voldoet aan de Europese regelgeving omtrent gegevensbescherming.

Het wordt interessant om te zien of het Privacy Shield in stand blijft en bestand is tegen de vele kritieken. Het advies van WP29 vormt hierin een belangrijke schakel en wij zijn benieuwd of de bezorgdheden van de voorzitter zijn weggenomen met het publiceren van de volledige wettekst. We kijken uit naar 13 of 14 april.