Privacy Shield, een garantie voor het recht op privacy of een wassen neus?

Eindelijk heeft de Europese Commissie details bekend gemaakt over de opvolger van Safe Harbor, namelijk Privacy Shield. Is uw data nu wel beter beschermd tegen de Amerikaanse overheid?

Eerder schreven wij al over het Privacy Shield en de bedenkingen bij dit nieuwe verdrag. Maar wat zijn nu de belangrijkste verschillen tussen deze verdragen?

Ten eerste worden er strengere eisen gesteld aan bedrijven in Amerika. Er zal meer toezicht worden gehouden en er zullen sancties volgen  als er niet volgens de wet- en regelgeving wordt gehandeld. Bij een aantal vormen van persoonsgegevensverwerking moet een opt-out geboden worden aan individuen, maar dat is lang niet bij alle vormen het geval. Max Schrems schrijft al dat de voorgestelde wijze gaat leiden tot een gemakkelijke manier om dataverkeer vrij te verwerken.

Personen krijgen het recht om een klacht in te dienen bij bedrijven die persoonsgegevens verwerken, bedrijven moeten hierop binnen 45 dagen reageren. Als de klacht niet naar wens van de betrokkene wordt afgehandeld, dan kan middels alternatieve geschillenbeslechting getracht worden om een oplossing te vinden of bij een Privacy Shield panel. Europese burgers kunnen ook hun klacht neerleggen bij de nationale toezichthouder. De nationale toezichthouder kan bijvoorbeeld dan besluiten het gehele dataverkeer van een bedrijf naar Amerika stop te leggen.

Ten tweede worden de rechten en de plichten van de Amerikaanse overheid beter vastgelegd. Hoewel de Europese rechter oordeelde dat Safe Harbor niet voldoende waarborgen biedt voor de bescherming van privacy, omdat onder andere er massasurveillance door Amerika wordt uitgevoerd, kan dit nog steeds onder Privacy Shield. De Amerikaanse overheid wordt wel gebonden aan zes grondslagen om massasurveillance uit te voeren; Het opsporen en tegengaan van spionage van andere landen, het tegengaan van terrorisme, het tegengaan van de verspreiding van massavernietigingswapens, cybersecurity, het opsporen van bedreigingen voor de V.S. of zijn bondgenoten en het opsporen van grensoverschrijdende criminaliteit.

En in deze lijst van grondslagen, waaronder massa-surveillance, zien wij gelijk al een heikel punt. Massasurveillance door Amerika blijft gewoon toegestaan onder deze grondslagen. De grondslagen zijn dermate breed opgesteld dat er bijna altijd wel een grondslag door de Amerikaanse overheid gebruikt kan worden. De Europese rechter heeft juist Safe Harbor afgeschoten vanwege de onbeperkte mogelijkheden voor massasurveillance. De vraag is dan ook of dit wel stand blijft houden als dit getoetst wordt door de Europese rechter.

Er worden weliswaar waarborgen vastgesteld om de Amerikaanse overheid aan toezicht te binden, zoals de belofte van de Amerikaanse overheid dat zij zich aan de regels zullen houden. Alleen, wie controleert deze belofte? Er wordt een onafhankelijke ombudsman aangesteld om klachten af te handelen, maar ook hier geldt, hoe onafhankelijk is deze ombudsman? En in hoeverre wordt deze ombudsman in de mogelijkheid gesteld om dit toezicht uit te voeren en klachten af te handelen?

Deze tekst van het Privacy Shield is nog niet definitief. De Europese privacytoezichthouders, verenigd in de zogeheten artikel 29 werkgroep, zullen het Privacy Shield bestuderen en voorzien van commentaar. Naar verwachting wordt dit commentaar op 13 april gepubliceerd.

Wij zijn benieuwd naar het commentaar van de artikel 29 werkgroep. Het valt te betwijfelen of het Privacy Shield wel een adequaat beveiligingsniveau van persoonsgegevens kan garanderen. Hoewel het misschien een kritische houding is, heeft het verleden geleerd dat een kritische houding van belang is om de privacy van burgers te behouden.

 

ICTRecht Academy

Onze trainingen geven u een goede juridische voorbereiding om bijvoorbeeld taken als privacy officer uit te kunnen voeren en uw organisatie voor te bereiden op (naderende) privacywetgeving.

 

Terug naar overzicht