Persoonsgegevens en ‘derde landen’: Privacy Shield of Fata Morgana?

‍Sinds het aantreden van President Trump in de Verenigde Staten (VS) begin 2017, vrezen de inwoners van de VS voor hun privacy want om “let’s make America great again” te kunnen bewerkstelligen, acht President Trump het noodzakelijk om onder andere de bevoegdheden van de National Security Agency (NSA) flink uit te breiden. Zo wil hij bijvoorbeeld de mogelijkheid tot het verzamelen van bulk-informatie onder de Patriot Act niet alleen een nieuw leven in blazen maar vooral ook uitbreiden. “So thank god we still have Privacy Shield” want zoals de naam doet vermoeden zal het ons wel beschermen tegen de grillen van President Trump, toch?

Doorgifte op basis van Privacy Shield

Zoals reeds in de eerdere posts in de reeks ‘Persoonsgegevens en ‘derde landen’’ uiteengezet is, moeten ‘derde landen’ waaraan vanuit Europa persoonsgegevens worden doorgegeven, een vergelijkbaar niveau van bescherming van persoonsgegevens hebben. De VS is een voorbeeld van een derde land dat dergelijke bescherming op basis van hun wettelijke stelsel niet kan waarborgen. De reden hiervoor is dat het recht op privacy in de VS een consumentenrecht is terwijl dit in Europa grondwettelijk is verankerd. Omdat er veel data uitwisseling plaatsvindt met de VS, is hier iets op bedacht: het EU-US Privacy Shield. Het Privacy Shield is een doorgiftemechanisme dat specifiek en enkel geldt binnen de VS. Daarnaast is het slechts van toepassing op bedrijven in de VS die Privacy Shield gecertificeerd zijn. De certificatie geschiedt door middel van zelfcertificering waarbij de bedrijven verklaren de beginselen van Privacy Shield, welke onder Europees recht worden erkend als ‘passend’, te onderschrijven. Ja, dit is net zo simpel als dat het lijkt. Bedrijven kunnen zich inschrijven, waarna zij worden toegevoegd aan het register die te raadplegen is wanneer je als organisatie zaken doet met een Amerikaans bedrijf.

Van Safe Harbor naar Privacy Shield

Het Privacy Shield is een ‘verbeterde versie’ van het Safe Harbor Framework en is ontstaan nadat Safe Harbor in oktober 2015 door de hoogste Europese rechter ongeldig is verklaard. Een van de redenen was het ontbreken van adequate bescherming waardoor Safe Harbor niet langer kon dienen als een veilige constructie om persoonsgegevens rechtmatig door te voeren naar de VS. Maar het einde van Safe Harbor betekent niet het einde van dataopslag in de VS en zo ontstond Privacy Shield. Het is gestoeld op dezelfde uitgangspunten als het Safe Harbor Framework, maar zou op een aantal punten een verbetering moeten zijn. Het instellen en verbeteren van onafhankelijke vertaalmechanismen zou een groot verschil moeten maken, bijvoorbeeld door het aanstellen van een Ombudsman. Het Europees Parlement heeft er weinig vertrouwen in omdat er nog geen Ombudsman is aangesteld en ook veel andere toezichthoudende organen zijn nog niet aangesteld. Ondertussen is het wel wederom de manier waarop data uitwisseling plaats kan vinden met de VS.

NSA en Privacy Shield

Eén van de andere pijnpunten onder Safe Harbor was de onbeperkte toegang van de NSA tot de verzamelde persoonsgegevens, ook de gegevens die vanuit Europa doorgegeven werden aan de VS. Tijdens de onderhandelingen heeft de VS Europa verzekerd dat de toegang tot persoonsgegevens van overheidsinstanties voor wetshandhaving en nationale veiligheid onderworpen is aan duidelijke beperkingen, waarborgen en toezichtmechanismen en dat massa surveillance is uitgesloten. Maar zoals hierboven reeds vermeld, ziet President Trump dat ietwat anders, hij wil de NSA juist meer bevoegdheden geven en ook dit baart het Europees Parlement zorgen.

Vertrouwen in Privacy Shield?

12 juli 2016 is Privacy Shield inwerking getredenen tot noch toe is er nog weinig daadwerkelijke verbetering getoond. Het Europees Parlement is niet de enige die zich zorgen maakt, ook Max Schrems, voormalig student die de aanleiding is geweest voor het ongeldig verklaren van Safe Harbor, ziet het somber in. En of het vernieuwde Privacy Shield zal blijven voortbestaan is nog maar de vraag. Digital Rights Ireland heeft al een beroep ingesteld ) om Privacy Shield nietig te laten verklaren. Het is nog niet bekend wanneer de zaak behandeld zal worden en tot die tijd zal het Privacy Shield een rechtmatige grondslag blijven om persoonsgegevens door te geven aan de VS. De toekomst zal moeten uitwijzen of Privacy Shield daadwerkelijk een veilig schild kan bieden of dat het een fata morgana blijkt te zijn.