-

De nieuwe EU/VS-privacyregels, hoe zien ze eruit?

Op 12 juli 2016 heeft de Europese Commissie een zogenoemde adequacy-beschikking [1] afgegeven waardoor er – wederom – een wettelijke basis bestaat voor de intercontinentale datadoorgifte van persoonsgegevens tussen de Europese Unie en de Verenigde Staten [2].

Dit besluit was hard nodig sinds het HvJEU op 6 oktober 2015 een streep door de voorganger van het besluit – de Safe Harbor – zette omdat deze volgens het Hof onvoldoende waarborgen bood ten aanzien van de bescherming van persoonsgegevens. Sindsdien stond de datadoorgifte vanuit de EU naar de VS voor de ruim 4.000 gebruikers van de Safe Harbor op losse schroeven, maar gelukkig zijn deze (althans voorlopig) weer steviger aangedraaid.

Het besluit omvat overeenstemming over een raamwerk van regels dat het ‘Privacy Shield’ wordt genoemd. Het voornaamste doel is het versterken van de positie van de individuen woonachtig in de Europese Unie van wie persoonsgegevens via datadoorgifte worden uitgewisseld met de Verenigde Staten. Hoe ziet dat Privacy Shield er op hoofdlijnen uit?

Zelfcertificering

Het systeem is – net als zijn voorganger –  gebaseerd op zelfcertificering, dat wil zeggen dat Amerikaanse bedrijven zich kunnen aanmelden bij het (Amerikaanse) ministerie van Handel en verklaren [3] zich te houden aan de ‘Privacy Shield Principles’ [4] (hierna: “Beginselen”). Bedrijven welke zich gecommitteerd hebben aan deze Beginselen worden aangeduid als ‘Privacy Shield Organisaties’ (hierna “PGO”). Een dergelijke PGO dient zich ieder jaar te hercertificeren.

Het ministerie heeft een website [5] gelanceerd waarop de ‘Privacy Shield Lijst’  (een lijst waarop alle PGO’s zijn opgenomen) te raadplegen is. Op deze lijst wordt ook aantekening gemaakt van de PGO’s welke zich hebben teruggetrokken of niet aan hun jaarlijkse hercertificering-verplichting hebben voldaan. Indien PGO’s de Beginselen niet naleven kunnen zij – met aantekening daarvan – worden verwijderd van de lijst. Ook worden de, door de organisaties bij het ministerie ingediende, zelfcertificeringen gepubliceerd op de website.

Toezicht en handhaving

Het Shield voorziet in meerdere toezicht- en handhavingsmechanismen om te controleren en te garanderen dat de PGO’s de Beginselen naleven en dat tegen niet-naleving wordt opgetreden [6]. Wanneer de betrokkene van mening is dat zijn klacht niet afdoende behandeld is door de PGO, dan kan deze zich wenden tot een geschillenbeslechtingsinstantie, de nationale privacy ‘waakhond’, het ministerie van Handel, de Amerikaanse autoriteiten (m.s. de FTC), de rechter binnen het arrondissement waar de PGO gevestigd is en als ‘restmogelijkheid’ arbitrage.

Van voornoemde mogelijkheden kan vooral de weg via de FTC efficiënt zijn. Zij bezitten namelijk een groot aantal onderzoeks- en handhavingsbevoegdheden welke ingezet kunnen worden om naleving van de Beginselen af te dwingen. Ook het ministerie van Handel heeft zich gecommitteerd aan het nemen van tal van maatregelen die de werking van het Privacy Shield moeten bevorderen [7]. Zo zal bij (her)certificering van een PGO het ministerie systematisch controleren of het privacybeleid overeenstemt met de Beginselen.

Privacybeleid

Een belangrijk onderdeel van het Privacy Shield is de verplichting voor een PGO tot het opstellen en (doorgaans via websites) bekend maken van het privacybeleid waarin zij aangeven de Beginselen uit het Shield te onderschrijven. Wanneer het privacybeleid online beschikbaar is, dan is de PGO tevens verplicht hierin een link naar de website van het Privacy Shield, alsook een link naar de website van het onafhankelijke geschillenbeslechtingsinstantie op te nemen.

Het privacybeleid dient daarnaast uiteraard aan te sluiten bij de eisen genoemd in de Privacy Shield-regels. Deze regels bepalen bijvoorbeeld dat een PGO een claim van een natuurlijk persoon, die ziet op de bescherming van zijn persoonsgegevens, (1) binnen 45 dagen moet beantwoorden, (2) dat kosteloze alternatieve beslechting van een geschil daaromtrent mogelijk is alsmede (3) niet nakoming van die regels via inschakeling van betrokken autoriteiten alsnog tot een spoedige oplossing leidt alsmede dat (4) een arbitrage procedure kan worden gevoerd waarvan de uitspraak handhaafbaar is en die is uitgewerkt in lijn met een mechanisme omschreven in de Privacy Shield regels.

Ombudspersoon

Uit de toezegging [8] blijkt dat door de minster van Buitenlandse Zaken een Senior Coordinator for International Information Technology Diplomacy zal worden benoemd welke moet dienen als aanspreekpunt voor buitenlandse regeringen die bezorgd zijn over activiteiten van de Verenigde Staten met betrekking tot inlichtingen uit berichtenverkeer [9].

Verdere doorgifte

Voortvloeiende uit het Beginsel van verantwoording voor de verdere doorgifte [10] kan die verdere doorgifte slechts plaatsvinden 1) voor beperkte en welbepaalde doeleinden, 2) op basis van een overeenkomst, en 3) uitsluitend indien met die overeenkomst minimaal hetzelfde beschermingsniveau wordt geboden als het niveau dat door de Beginselen wordt gewaarborgd.

Deze verplichting geldt voor alle derden die bij de verwerking van de op die manier doorgegeven gegevens zijn betrokken. In alle gevallen dient in de overeenkomst tussen de PGO en de derde-ontvanger/verwerker een verplichting tot kennisgeving te worden opgenomen wanneer de derde niet langer aan de verplichtingen uit het Shield kan voldoen.

Verwerking dient in een dergelijk geval onmiddellijk te worden gestaakt. De betrokkene moet bovendien vooraf uitdrukkelijk toestemming verlenen voor verdere doorgifte van gevoelige persoonsgegevens (opt-in) aan de derde-ontvanger/verwerker. Voor zover het gaat om niet gevoelige persoonsgegevens en de verdere doorgifte daarvan aan een derde-ontvanger/verwerker, moet de betrokkene te allen tijde een opt-out mogelijkheid  worden geboden.

Verlaten Privacy Shield

Indien een organisatie besluit om het aanvankelijk omarmde Privacy Shield te verlaten, dat wil zeggen zich niet langer aan de regels daarvan te conformeren, dient het iedere verwijzing die anders doet veronderstellen, direct te staken. Niet naleving kan leiden tot strenge sancties [11]. De verwachting is dat organisaties die zich niet conformeren aan het Privacy Shield zich buiten de markt plaatsen. Naar onze mening zal de kracht van dit systeem echter voor een belangrijk deel afhangen van de handhaving en sanctionering.

Nadelen en slotsom

Uit de brief van de minister van Buitenlandse Zaken, John Kerry omtrent de aanstelling van en taken behorende bij de Ombudspersoon volgt dat het uitsluitend gaat om toezeggingen die zijn gedaan op basis van de consensus tussen de EC en de regering van de VS. Er bestaat dan ook nog veel onduidelijkheid over de daadwerkelijke bevoegdheden van de Ombudspersoon  en de effectiviteit van aan hem toekomende bevoegdheden.

Daarnaast is onduidelijk of de Beginselen van toepassing zijn op de bewerkers van de gegevens.

Maar veruit het grootste nadeel van het besluit is dat de zorg van het HvJEU zoals geuit in het voornoemde arrest, te weten het bulksgewijs verzamelen van persoonsgegevens afkomstig uit de EU door de Amerikaanse inlichtingdiensten (zoals bijvoorbeeld de NSA) ook met dit besluit niet is weggenomen. Opmerkelijk, want onder dit besluit blijven die bezwaren van het Hof nog immer bestaan. Dit is ook een van grootste zorgpunten van de Artikel 29 Werkgroep. Die Werkgroep is een onafhankelijk advies -en overlegorgaan van de Europese privacytoezichthouders.

De Werkgroep heeft haar bezorgdheid recent kenbaar gemaakt in een persbericht [12]. Weliswaar constateert de Werkgroep een verbetering ten opzicht van de Safe Harbor Rules, maar zij hamert op de volgende drie aandachtspunten:

  1. Het ontbreken van een verplichting tot het verwijderen van persoonsgegevens nadat het beoogde doel voor de eerdere verzameling van die gegevens is bereikt;
  2. De onduidelijkheid rondom het nu geconstrueerde mechanisme van de Ombudspersoon, en;
  3. Het, reeds aangehaalde, niet uitsluiten van het bulksgewijs verzamelen van persoonsgegevens.

Het is dan ook denkbaar  dat, wanneer het Privacy Shield ter toetsing aan het HvJEU wordt voorgelegd, het die toets niet kan doorstaan.

*) Dit artikel heb ik geschreven in samenwerking met mijn collega Daphne Schrauwen en is tevens gepubliceerd op onze website.

**) Bronnen:

[1] De Commissie ontleent deze bevoegdheid aan art. 25 lid 6 Privacyrichtlijn. Dergelijke beschikkingen zijn eerder afgegeven voor datadoorgifte naar bijvoorbeeld Israel, Canada en Zwitserland. De volledige lijst van beschikkingen is hier te raadplegen.

[2] Wanneer het gemengd comité van de EER besluit  deze beschikking onderdeel uit te laten maken van de EER-overeenkomst, dan treden ook IJsland, Liechtenstein en Noorwegen toe als partijen. Het ligt in de lijn der verwachting dat dit gebeurd, echter tijdens de totstandkoming van dit artikel was voornoemd besluit nog niet genomen.

[3] Zie voor de eisen welke gesteld worden aan de zelfcertificering Annex II, sectie III.6 van het besluit.

[4] Deze bestaan uit een zevental beginselen waar iedere PGO zich aan dient te houden, alsmede een aantal aanvullende beginselen (zie Annex II bij het besluit voor alle beginselen).

[5] https://www.privacyshield.gov/list

[6] Aldus overweging 30 bij het besluit.

[7] Zie Annex I bij het besluit, p. 6 t/m 8.

[8] Annex III bij het besluit

[9] Aldus Sectie 4(d) van de ‘Presidential Policy Directive’ 28 (PPD-28)

[10] Annex II, sectie III.10

[11] En kan onder de False Statements Act (18 U.S.C. § 1001) naast een boete ook tot gevangenisstraf leiden.

[12] Zie http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond