Het zogenaamde Privacy Shield wordt waarschijnlijk deze week officieel goedgekeurd door de Europese Commissie. Daarmee geeft de Europese Commissie goedkeuring voor doorgifte van persoonsgegevens vanuit Europa naar partijen in de VS die zich gaan aansluiten op Privacy Shield.
Tot 6 oktober 2015 gebeurde dit nog officieel op basis van het "Safe Harbor" programma. Op die dag werd Safe Harbor door de hoogste Europese rechter ongeldig verklaard.
Wat was Safe Harbor?
Safe Harbor was een zelf-certificeringsmechanisme voor Amerikaanse partijen waarin zij verklaarden zich aan bepaalde privacyregels te houden bij het gebruik van persoonsgegevens uit Europa. Door de onthullingen van Edward Snowden over de onderzoekspraktijken van de NSA, waarbij op grote schaal gegevens van Europese burgers werden bekeken, oordeelde de Europese rechter dat Safe Harbor niet safe genoeg was.
Deze uitspraak had in feite tot gevolg dat alle Amerikaanse partijen die diensten aanbieden in Europa, zoals Facebook, Google, Amazon, Apple en LinkedIn en Amerikaanse bedrijven met Europese vestigingen, niet meer op basis van Safe Harbor gegevens van partijen uit Europa mochten ontvangen.
Sindsdien zijn de Verenigde Staten en Europa met elkaar in onderhandeling over de vervanging van Safe Harbor. Dit is Privacy Shield geworden.
Wat is Privacy Shield?
Privacy Shield is vergelijkbaar met het oude "afe Harbor programma. Amerikaanse partijen die gegevens van Europeanen in de VS willen opslaan kunnen onder Privacy Shield een certificering aanvragen. Die certificering krijgen ze als blijkt dat ze aan de privacyregels van Privacy Shield voldoen.
De regels zijn een soort samenvatting van de belangrijkse Europese privacyregels. De exacte inhoud zoals de Europese Commissie deze moet goedkeuren is nog niet bekend.
De certificering herhaalt zich regelmatig en wordt gecontroleerd door de Department of Commerce (https://www.commerce.gov/privacyshield).
Wat betreft de onderzoekspraktijken van Amerikaanse overheidsinstanties heeft de Amerikaanse regering in brieven toegezegd dat inzage in de gegevens van Europese burgers aan voorwaarden wordt gebonden en dat onbeperkte "massa surveillance" niet meer plaats zal vinden.
Verder komt er een ombudsman die klachten van Europese burgers in behandeling moet nemen. Ook krijgen Europese burgers het recht om in Amerika (onder bepaalde voorwaarden) een zaak te beginnen als hun privacy wordt geschonden. Dit was eerst alleen weggelegd voor Amerikaans staatsburgers.
Verwacht wordt dat in augustus 2016 de eerste certificeringstrajecten zullen starten.
Wat betekent dit voor Europese ondernemingen?
Privacy Shield is vooral relevant voor Europese ondernemingen ("verantwoordelijken") die gebruik maken van de diensten van Amerikaanse partijen of die groepsvennootschappen in Amerika hebben. Als zij persoonsgegevens, waarvoor zij verantwoordelijk zijn, willen doorgeven naar Amerika, dan mag dat aan partijen die straks gecertificeerd zijn onder Privacy Shield.
Hoeveel bescherming biedt het Privacy Shield?
Dat is moeilijk te zeggen. Veel hangt af van hoe de certificeringsvoorwaarden, en de voorwaarden waaronder overheidsinstanties toegang krijgen tot de gegevens in de praktijk worden nageleefd en gecontroleerd.
Niet alle partijen zijn even enthousiast of Privacy Shield. Privacyvoorvechters en de nationale toezichthouders hebben er kritiek op gehad omdat het nog steeds niet de bescherming zou bieden die de Europese rechter graag ziet. De voorwaarden van Privacy Shield zijn niet hetzelfde als de Europese privacywetgeving en vanuit Europa is lastig te controleren of Amerikaanse partijen zich aan de regels houden. Daarvoor moet worden vertrouwd op het Amerikaanse Department of Commerce en de Amerikaanse rechter. Het is dus nog niet zeker of Privacy Shield de toets van de Europese rechter of van de nationale toezichthouders zal doorstaan.
Europese ondernemingen kunnen Amerikaanse dienstverleners ook vragen de gegevens alleen in Europa op te slaan. Er zijn steeds meer Amerikaanse dienstverleners die dit als optie aanbieden. Gegevens mogen overal binnen de Europese Economische Ruimte worden opgeslagen.