Een doorbraak in de onderhandelingen over het nieuwe Safe Harbor verdrag is aangekondigd! Na het afschieten van het oude verdrag is nu ook de naam verleden tijd. De Europese Commissie presenteerde gistermiddag de opvolger: het EU-US Privacy Shield. Is dat de oplossing waar iedereen op zit te wachten, of is het Safe Harbor in een nieuw jasje, maar met dezelfde problemen?
In oktober vorig jaar is er een bom gelegd onder de toenmalige Safe Harbor constructie. Het programma kon, mede dankzij de onthullingen van Snowden, niet langer aangemerkt worden als een veilige constructie om Europese persoonsgegevens te beschermen tegen het datagraaien van de NSA. Wat iedereen sinds de onthullingen van Snowden eigenlijk al wist, werd nu door het Europese Hof bevestigd.
Werk aan de winkel voor de EU en VS, want de politieke en economische belangen van een gedegen uitwisseling van persoonsgegevens tussen de EU en de VS zijn enorm. Hoewel Safe Harbor niet de enige grond is om persoonsgegevens vanuit Europa naar de VS te sturen, is het lange tijd wel de meest gebruikte grond geweest.
Na het afschieten van Safe Harbor hebben de Europese privacytoezichthouders de druk opgevoerd en geëist dat er voor eind januari een nieuw verdrag zou komen. Twee dagen na de deadline is een nieuw verdrag aangekondigd. Aangekondigd, maar het verdrag zelf is er nog niet.
Er is gistermiddag slechts een naam en logo gepresenteerd, maar een nieuwe constructie die export van persoonsgegevens naar de VS eenvoudiger maakt is er zeker nog niet. In de komende weken gaat de EU aan de slag met het opstellen van een tekst die vervolgens door verschillende instanties gekeurd moet worden.
De vraag blijft dus of het Privacy Shield wel voldoende invulling geeft aan de bezwaren op grond waarvan Safe Harbor afgeschoten is. Voor nu is alleen overeengekomen dat het Privacy Shield:
- Sterke verplichtingen zal gaan bevatten voor Amerikaanse bedrijven die Europese persoonsgegevens verwerken;
- Garanties van de Amerikaanse overheid zal gaan bevatten over het datagraaien. De VS geeft aan dat ongericht datagraaien van Europese persoonsgegevens verleden tijd is;
- Amerikaanse bedrijven deadlines op zal leggen om te reageren op klachten van Europese burgers en Europese privacytoezichthouders klachten in kunnen dienen bij verschillende Amerikaanse overheidsinstanties;
- Specifiek voor klachten over het datagraaien door de Amerikaanse overheid bepalingen over het aanstellen van een ombudspersoon zal bevatten.
Hoe deze garanties vertaald gaan worden naar het echte verdrag is nog niet duidelijk. Dat moet in de komende weken tot maanden blijken als het verdrag wordt opgesteld. Evenmin is duidelijk of bovenstaande garanties dan wel voldoende waarborgen bieden tegen de bezwaren die het Europese Hof eerder had tegen Safe Harbor. De aanstichter van dit alles, Max Schrems, heeft in ieder geval zijn bedenkingen.
Zo lang het nieuwe verdrag er nog niet is, dienen Europese bedrijven en organisaties andere grondslagen te hebben om persoonsgegevens naar de VS te exporteren. Het modelcontract biedt, hoe mager ook, voor nu nog een wettelijke grondslag. De vraag is echter hoelang die grondslag houdbaar is, aangezien de bezwaren die voor Safe Harbor golden, ook voor het modelcontract opgaan. Het modelcontract is gratis via onze generator op te stellen.
Lees het hele nieuwsbericht van de Europese Commissie hier.
