Drie redenen waarom Privacy Shield onze privacy in de VS niet goed beschermt

Volgens Europese privacystandaarden zijn onze persoonlijke gegevens in de Verenigde Staten onvoldoende beschermd. Zodat bedrijven toch gegevens kunnen uitwisselen tussen de EU en de VS zijn aanvullende afspraken (het zogenaamde Safe Harbor) gemaakt. In oktober 2015 bleek dat het Europese Hof van Justitie vindt dat die afspraken tekortschieten. Het alternatief waar de Europese Commissie nu mee komt, onder de noemer Privacy Shield, schiet echter ook tekort en voldoet niet aan de geldende privacywaarborgen van de Europese Unie. We zetten onze drie grootste bezwaren op een rij.

Privacy Shield moet ervoor zorgen dat de uitvoer van persoonsgegevens naar de Verenigde Staten gebeurt op basis van adequate, dus aan Europa gelijkwaardige, bescherming van deze gegevens. Dit is van belang om bijvoorbeeld misbruik van persoonsgegevens door de Amerikaanse overheid tegen te gaan. Denk aan de onthullingen van Edward Snowden over het meelezen door de Amerikanen in email of social media.

1. Massasurveillance vanuit de Verenigde Staten is nog steeds mogelijk

De Amerikaanse overheid behoudt in Privacy Shield de mogelijkheid om bulkdata te gebruiken, ondanks dat het Europees Hof van Justitie vindt dat bulkdata zonder concrete verdenking niet verzameld, laat staan gebruikt mag worden. Al dat zo breed verzameld wordt, dan tast dat onze fundamentele rechten aan.

Bovendien kan Amerika de in Privacy Shield vastgelegde waarborgen eenvoudig opzij zetten in naam van het ‘publieke belang’. In Privacy Shield worden zeer vage en brede begrippen gebruikt, waardoor een breed scala aan gebeurtenissen hieronder kan vallen.

Ook kent Privacy Shield geen beperkte bewaartermijn van gegevens voor opsporing. Dit strookt niet met het principe dat data niet langer bewaard mogen worden dan strikt noodzakelijk. Dat is vragen om misbruik, omdat er geen verplichting bestaat om de data te verwijderen nadat het doel van de verwerking is gehaald. Dat druist rechtstreeks in tegen de waarborgen die de Europese Unie stelt.

2. Effectief toezicht is op Privacy Shield is noodzakelijk, maar tegelijk onmogelijk

Privacy Shield geeft een aantal instrumenten om effectief toezicht op de naleving van de afspraken te regelen. Die schieten alleen tekort. Om toezicht te houden op het gebruik van persoonsgegevens onder Privacy Shield heeft de Amerikaanse overheid bijvoorbeeld een ‘ombudspersoon’ geïntroduceerd. Deze ombudspersoon maakt onderdeel uit van het Amerikaanse ministerie van Binnenlandse Zaken. Dat is geen onafhankelijkheid, terwijl die wel vereist is, volgens het Europees Hof. Noch Privacy Shield, noch de bijlagen geven een verdere uitleg over de bevoegdheden waarmee dit ambt omkleed wordt. De documenten suggereren dat de ombudspersoon niet te allen tijde toegang heeft tot alle informatie om zijn eigen beoordeling te maken. Hij heeft niet de bevoegdheid om onrechtmatige verwerking van data door inlichtingendiensten te beëindigen. De functie wordt op deze manier meer symbolisch, in plaats van de vereiste effectieve toezichthouder.

Verder maakt Privacy Shield het voor alle partijen ingewikkeld om effectief toezicht te kunnen uitoefenen. Effectief toezicht betekent dat alle partijen weten wat hun bevoegdheden zijn en in welke gevallen zij deze mogen uitoefenen. Door de grote hoeveelheid documenten en regelingen die aan Privacy Shield hangen, wordt het de bevoegde autoriteiten onnodig ingewikkeld gemaakt om in te zien wanneer zij in mogen grijpen en tot hoe ver hun bevoegdheden reiken. Zij kunnen hierdoor niet adequaat optreden wanneer dat nodig is.

De wet wordt door de grote hoeveelheid bijlagen ook ontoegankelijk voor de burger. Burgers moeten immers in staat zijn hun rechten uit te oefenen. De brei aan documenten en regelingen die Privacy Shield vormen en de inconsistenties die zich daarin voordoen, maakt de wet enorm ingewikkeld. Voor bedrijven betekent dit ook dat zij dure juridische hulp in zullen moeten schakelen om duidelijk te krijgen wat hun verplichtingen zijn.

3. De wettelijke basis vanuit Amerika geeft geen rechtszekerheid

De wettelijke basis vanuit Amerika deugt niet omdat het geen rechtszekerheid geeft voor de toekomstige toepassing van Privacy Shield. Een volgende president kan belangrijke besluiten terugdraaien. De kans is groot dat bijvoorbeeld Presidentieel Besluit PPD 28, dat belangrijke aanvullende regels voorschrijft aan de inlichtingendiensten, met een pennenstreek ongedaan wordt gemaakt. Dit zou Privacy Shield onderuit halen. Dat is niet goed voor de rechtszekerheid voor EU burgers en bedrijven.

De Judicial Redress Act maakt het via een amendement mogelijk om de Privacy Shield-voorschriften opzij te zetten. In het amendement wordt gesteld dat privacyafspraken genegeerd kunnen worden wanneer deze tegen de Amerikaanse principes rond nationale veiligheid indruisen.

Privacy Shield moet tenslotte binnen twee jaar alweer op de schop wegens nieuwe Europese privacyregels. De nieuwe Europese privacywet bevat strengere waarborgen en verplichten voor privacy dan wat er nu in Privacy Shield is opgenomen. Aangezien bedrijven die data verzenden naar Amerika voor verwerking zich aan de Europese regelgeving moeten houden, ook na 2018, zal Privacy Shield in lijn moeten zijn met deze regelgeving. Privacy Shield moet dus binnen twee jaar alweer fors worden herzien. Of de Amerikaanse regering dan bereid is om daaraan tegemoet te komen, is alleen zeer de vraag.