In vervolg op onze eerdere blogposts over het Privacy Shield, en de vraag of de concept “adequacy decision” van de Europese Commissie voldoet aan de rechtspraak van het Europese Hof van Justitie inzake Schrems, zoomen we in op het meest controversiële punt: toegang tot Europese persoonsgegevens door Amerikaanse overheidsdiensten.

In Schrems heeft het Hof van Justitie bepaald:

“93   Niet beperkt tot het strikt noodzakelijke is dan ook een regeling die algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in een objectief criterium ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan voor specifieke doeleinden, die strikt beperkt zijn en als rechtvaardiging kunnen dienen voor de inmenging als gevolg van zowel de toegang tot als het gebruik van deze gegevens [zie in die zin, aangaande richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB L 105, blz. 54), arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punten 57‑61].

94     Meer bepaald moet een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd (zie in die zin arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 39).” (onderstreping auteur)

Interessant is het persbericht van de Europese Commissie, waarin de Commissie schetst:

“voor het eerst heeft de regering van de VS de EU via het bureau van de directeur van de nationale inlichtingendienst schriftelijk verzekerd dat voor toegang van overheidsinstanties omwille van de nationale veiligheid duidelijke beperkingen, garanties en toezichtmechanismen zullen gelden, om te voorkomen dat gegevens algemeen toegankelijk worden.” (onderstreping auteur)

Toch blijkt uit de bijlagen bij de “adequacy decision” dat onderschepping in bulk nog steeds mogelijk is:

“PPD-28 also provides that signals intelligence collected in bulk can only be used for six specific purposes: detecting and countering certain activities of foreign powers; counterterrorism; counter-proliferation; cybersecurity; detecting and countering threats to U.S. or allied armed forces; and combatting transnational criminal treats, including sanctions evasions.”

We vragen ons af in hoeverre het benoemen van de zes doeleinden een beperking is ten opzichte van de situatie daarvoor of enkel een explicatie. Met andere woorden: geschiedde toegang die de NSA had tot data van Europese burgers, op basis waarvan het Hof van Jusititie Safe Harbor ongeldig verklaarde, dan niet voor het doeleinde van “counterterrorism” of een van de andere doeleinden opgesomd in PPD-28?

We zijn benieuwd naar de zienswijze van WP29 13/14 april.

In onze blog van 22 februari jl. schreven wij over het “EU/US Privacy Shield”. Er was toen nog weinig bekend over het nieuwe akkoord tussen Europa en de Verenigde Staten met betrekking tot het uitwisselen van persoonsgegevens. Op 29 februari jl. maakte de Europese Commissie de officiële tekst voor de invoering van het ‘schild’ bekend. Hoog tijd om in deze materie te duiken.

Achtergrond Privacy Shield

Het Privacy Shield vervangt de door het Hof van Justitie ongeldig verklaarde Safe Harbor. In de Schrems-zaak bepaalde het Hof van Justitie dat de Safe Harbor geen adequate bescherming biedt en in strijd is met het Europese privacy-kader. Het grootste probleem met Safe Harbor was de algemene toegang van bevoegde nationale autoriteiten tot elektronische communicatie zonder enige beperking (zie Schrems, r.o. 93-94).

De (Europese privacy-toezichthouders verenigd in de) Artikel 29 Werkgroep (WP29) gaf de Europese Commissie tot eind januari jl. om een nieuwe grondslag te ontwikkelen voor de trans-Atlantische uitwisseling van persoonsgegevens. Op 2 februari jl. kondigde de Europese Commissie aan tot een nieuw akkoord te zijn gekomen, het Privacy Shield. Maar is dit nieuwe “adequaatheidsbesluit” wel adequaat genoeg en voldoet het aan de kritiek van het Hof in Schrems?

Inhoud van het Privacy Shield

De vier belangrijke onderwerpen in het Privacy Shield zijn:

(1) Zwaardere verplichtingen voor ondernemingen en handhavingsmogelijkheden (Department of Commerce zal monitoren en Federal Trade Commission kan handhaven voor de Amerikaanse rechter);

(2) Meer waarborgen en transparantie-verplichtingen voor toegang door de overheid van de VS (onder andere door het instellen van een door de Amerikaanse overheid benoemde Ombudspersoon);

(3) Bescherming voor EU burgers door meerdere verhaalmogelijkheden, waaronder het vereiste dat op klachten binnen vaste termijnen wordt gereageerd, toegang tot gefinancierde arbitrage en, in geval van HR-data, toegang tot de eigen DPA;

(4) Een mechanisme voor jaarlijkse evaluatie van naleving van het Privacy Shield door de Europese Commissie en het Amerikaanse Department of Commerce.

Het Privacy Shield is in de kern een zelf-certificeringssysteem waarbij ondernemingen zichzelf committeren aan de “Privacy Principles”. Het besluit beschrijft zeven verschillende beginselen, namelijk de beginselen van Notice, Choice, Security, Data Integrity and Purpose Limitation, Access, Accountability for Onward Transfer en als laatst het beginsel van Recourse, Enforcement and Liability. Het kennisgevingsbeginsel vereist dat een onderneming zijn privacy beleid publiceert en onder meer vermeldt op welke manier persoonsgegevens van individuen worden verwerkt. Onder het keuzebeginsel valt een verplichte opt-out-mogelijkheid voor individuen tegen verstrekking van persoonsgegevens aan derden, het gebruik van de gegevens voor een wezenlijk ander doel en het gebruik voor direct marketing. Ook moet er op basis van dit beginsel een verplichte opt-in zijn voor het verwerken van gevoelige persoonsgegevens.

Het akkoord is nog niet van kracht. De Europese Commissie neemt uiteindelijk de beslissing of het Privacy Shield aangenomen wordt. Voorafgaand wordt een advies van WP29 verwacht. Dit advies is niet bindend maar wel gezaghebbend op privacy-gebied.

Reactie WP29

Het adequaatheidsbesluit wordt op dit moment beoordeeld door WP29 en een advies wordt verwacht op 12 of 13 april aanstaande. Tijdens een publiek debat op 17 maart 2016 van de Europese Commissie voor Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken (“LIBE Commissie”) over het Privacy Shield gaf de voorzitter van WP29 aan zich zorgen te maken over de afwezigheid van regels met betrekking tot het bewaren van gegevens en de bevoegdheden en onafhankelijkheid van de nieuwe ombudsman. Deze bezorgdheid werd uitgesproken voordat de volledige tekst van het Privacy Shield beschikbaar was. Het wordt spannend om te zien of deze bezorgdheid is afgenomen en of WP29 een positief advies uitbrengt over huidige akkoord.

Reacties in de praktijk

In de praktijk is het Privacy Shield niet goed ontvangen. Schrems, de aanstichter van de ongeldig verklaarde safe harbor, bekritiseert het akkoord en is van mening dat het niet voldoet aan de vereisten die het Hof gesteld heeft in de Schrems-zaak. De Europese Commissie claimt dat er geen sprake meer is van het verzamelen van bulk data maar Schrems beschrijft in zijn kritische blog dat er nog steeds zes gevallen zijn waarin het verzamelen van bulk data is toegestaan, waaronder terrorismebestrijding, cyberveiligheid, het opsporen en tegengaan van bedreigingen voor de VS en de bestrijding van grensoverschrijdende criminele bedreigingen. Volgens Schrems zijn deze uitzonderingen zo breed gedefinieerd dat ze niet voldoen aan het voornaamste kritiekpunt van het Hof, namelijk de onbegrensde toegang van Amerikaanse autoriteiten tot persoonsgegevens van Europese burgers. Ook Bits of Freedom, de Nederlandse burgerrechtenbeweging die opkomt voor de privacy van burgers, vindt dat het nieuwe akkoord niet voldoet aan de Europese regelgeving omtrent gegevensbescherming.

Het wordt interessant om te zien of het Privacy Shield in stand blijft en bestand is tegen de vele kritieken. Het advies van WP29 vormt hierin een belangrijke schakel en wij zijn benieuwd of de bezorgdheden van de voorzitter zijn weggenomen met het publiceren van de volledige wettekst. We kijken uit naar 13 of 14 april.