Het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, is definitief aangenomen. Dit betekent dat er eindelijk een vervanger is voor het Safe Harbor-verdrag. Maar wat betekent dit nu voor de praktijk?
Eerder was al de concepttekst van het Privacy Shield openbaar gemaakt. Op deze conceptversie is het nodige commentaar gekomen.
Dat het Privacy Shield toch is aangenomen is geen verrassing. De andere alternatieven om gegevens naar de VS te verzenden zijn niet zo eenvoudig als Safe Harbor dat was. Het modelcontract is daar een voorbeeld van. Als de Amerikaanse bedrijven nu voldoen aan de eisen die het Privacy Shield stelt, hoeft er met hen geen modelcontract meer gesloten te worden.
Waarom het Privacy Shield?
In de VS is er een minder sterke bescherming van persoonsgegevens dan in de EU. Als er gegevens worden verwerkt buiten de EU, moet de bescherming van de persoonsgegevens gelijkwaardig zijn aan het Europese niveau. Het Privacy Shield moet deze bescherming van persoonsgegevens waarborgen, zodat Amerikaanse bedrijven en de Amerikaanse overheid zich moeten gaan houden aan regels over gegevensbescherming.
Wat betekent het Privacy Shield voor gegevensdoorgifte?
De kern van het Privacy Shield is dat bedrijven zichzelf kunnen certificeren, waarbij zij aangeven te voldoen aan de gestelde privacyeisen. Gecertificeerde bedrijven mogen bijvoorbeeld niet zomaar gegevens doorgeven aan derden en dienen een privacyverklaring op hun website te plaatsen.
Als een Amerikaans bedrijf is gecertificeerd onder het Privacy Shield, dan mogen Europese organisaties persoonsgegevens doorgeven naar dit Amerikaanse bedrijf. Het Amerikaanse ministerie van Handel zal regelmatig updates en controles bij de gecertificeerde bedrijven uitvoeren, zodat de bescherming gewaarborgd blijft.
Wat moet ik nu doen als ik gegevens wil doorgeven aan een Amerikaans bedrijf?
Het Privacy Shield zal vandaag nog aan de lidstaten van de EU bekend gemaakt worden, waardoor het ook per direct in werking treedt. Per 1 augustus kunnen Amerikaanse bedrijven bij het Amerikaanse Ministerie van Handel een certificering indienen. Zodra een Amerikaans bedrijf is opgenomen in het register van het Privacy Shield, kunnen persoonsgegevens door dit bedrijf verwerkt worden. Het is dus van belang om te controleren of het Amerikaanse bedrijf een Privacy Shield-certificaat heeft.
Wat zijn verder de belangrijkste veranderingen ten opzichte van Safe Harbor?
Betrokkenen krijgen meer rechten onder het Privacy Shield. Zo mogen Europese burgers klachten indienen bij de Amerikaanse bedrijven als zij menen dat hun rechten worden geschonden. De Amerikaanse bedrijven zijn verplicht om hierop binnen 45 dagen te reageren.
Daarnaast zijn er diverse mogelijkheden voor Europese burgers om klachten in te dienen over een bedrijf. Zo wordt er een Privacy Shield Panel opgericht dat ook de mogelijkheid heeft om het certificaat van een Amerikaans bedrijf in te trekken.
Daarnaast is de Amerikaanse overheid voortaan gebonden aan zes verschillende grondslagen om massasurveillance te verrichten. Dit moet voorkomen dat de Amerikaans overheid ongebreideld in de gegevens van Europese burgers mag neuzen. Tevens wordt een ombudsman aangesteld die klachten over mogelijke massasurveillance onafhankelijk kan behandelen.
Het Privacy Shield zal jaarlijks geëvalueerd worden door zowel de EU als de VS, zodat er gecontroleerd kan worden of de gemaakte afspraken onder het Privacy Shield ook daadwerkelijk worden nagekomen.
Door inwerkingtreding van het Privacy Shield kunnen Europese organisaties binnenkort zonder gebruik van een modelcontract persoonsgegevens doorgeven naar gecertificeerde Amerikaanse bedrijven.
Fotocredit: persconferentie Europese Commissie
ICTRecht Academy
