Het zogenoemde Privacy Shield is een regeling tussen de Europese Unie en de Verenigde Staten die een juridische basis moet bieden voor de overdracht van persoonlijke gegevens uit de EU naar de VS. De regeling is zeer omstreden, omdat het in strijd zou zijn met de grondbeginselen van de EU en onvoldoende bescherming zou bieden. In dit artikel geven we je achtergrondinformatie en beabtwoorden we een paar veelgestelde vragen.
De eerste voorstellen voor het 'Privacy Shield' publiceerde de Europese Commissie op 29 februari 2016. Het bestaat uit een concept-implementatiebeslissing en een serie bijlages, waaronder de Privacy Shield-principes, die zijn uitonderhandeld door de Europese Commissie met het Amerikaanse Ministerie van Economische Zaken. Daarnaast bevatten de bijlages nog een serie brieven van verschillende onderdelen van de Amerikaanse overheid.
De noodzaak voor de onderhandelingen over het Privacy Shield ligt in de onthullingen van de klokkenluider Edward Snowden, in juni 2013, over grootschalige massasurveillance door Amerikaanse inlichtingendiensten. Op basis daarvan verklaarde het Europese Hof van Justitie in oktober 2015 de oude regeling ongeldig. Deze Safe Harbor-regeling voor de overdracht van persoonsgegevens aan de VS was in gebruik sinds 2000. Het Hof wees daarbij nadrukkelijk op de massale verzameling van online berichten, die in strijd was met de essentie van het grondrecht op privacy.
Op 17 maart 2016 hield de Justitiecommissie van het Europees Parlement een hoorzitting over de conceptteksten van Privacy Shield. Vervolgens nam het Europarlement een resolutie aan die vraagtekens zet bij de concepttekst en die de Europese Commissie oproept de onderhandelingen met de VS voort te zetten. De Groenen in het Europees Parlement riepen in een eigen resolutie op om de regeling binnen twee jaar te herzien, als de nieuwe gegevensbeschermingsverordening in de EU van kracht gaat, maar deze resolutie haalde het niet.
De samenwerkende gegevensbeschermingsautoriteiten – de Article 29 Working Party – waren in een opinie op 13 april kritisch over Privacy Shield, net als de Europese Toezichthouder Databescherming in een aparte opinie op 30 mei.
De Europese Commissie onderhandelde daarop verder met de VS en stuurde op 28 juni een definitieve tekst naar het Europees Parlement, hoewel pas nadat de tekst al naar de regeringen van de Europese lidstaten was gestuurd en de voorzitter van de Justitiecommissie persoonlijk bij de Europese Commissie had geklaagd over het uitblijven van de teksten.
Op 8 juli gaven vertegenwoordigers van de EU-lidstaten haar goedkeuring aan de Privacy Shield-teksten, waarbij vier landen zich onthielden van stemming.
1. Wat vinden de Europese Groenen van de definitieve versie van Privacy Shield? Is er verbetering?
Er is een zekere verbetering. De belangrijkste is de grotere duidelijkheid over doelbinding van gegevens en de bewaartermijnen van gegevens door bedrijven. Maar zelfs bij deze onderwerpen zijn er tekortkomingen. In de EU geldt de regel dat gegevens alleen bewaard mogen worden zo lang als noodzakelijk is. In Privacy Shield mogen ze bewaard worden zolang ze 'relevant' zijn – een lagere maatstaf. Alle data kan 'relevant' zijn voor een bedrijf, lang nadat de noodzaak voor het bewaren is verdwenen.
2. Vinden jullie dat deze nieuwe versie moet worden geactiveerd?
Nee. De tekortkomingen van deze tekst zijn te groot en de kans dat het Hof ze opnieuw zal verwerpen is aanzienlijk. Op zijn minst zou de bepaling moeten worden opgenomen dat de afspraken maximaal twee jaar gelden, zodat we nieuwe afspraken kunnen maken als de nieuwe Europese verordening gegevensbescherming van kracht wordt. De onderhandelingen met de VS moeten in de tussentijd doorgaan, zodat we de Amerikanen kunnen bewegen hun surveillancewetten verder aan te passen. Dit is een moeilijk te realiseren doelstelling, gegeven de politieke situatie in Washington, maar we kunnen niet accepteren dat Amerikaanse bedrijven toegang krijgen tot onze persoonlijkste gegevens als onze standaarden daar niet worden gevolgd.
3. Wat gebeurt er als Privacy Shield wordt geactiveerd?
Ondanks de waarschuwingen van het Europees Parlement en de privacywaakhonden van de lidstaten, heeft de activeerde de Europese Commissie Privacy Shield op 12 juli.. Dit is zeer ongelukkig, vooral zo kort na het Brexit-referendum, nu de EU behoefte heeft aan leiderschap en vertrouwen. Bedrijven blijven voorlopig in een juridisch niemandsland, omdat de kans levensgroot is dat het Europees Hof binnen een paar jaar opnieuw zal besluiten dat de overdracht van persoonsgegevens niet acceptabel is, zolang de inlichtingendiensten niet ophouden met datagraaien.
4. Wat vinden jullie ervan dat de Europese Commissie de EU-landen maar een paar dagen de tijd gaf om tot een oordeel over Privacy Shield te komen?
De haast voor het zomerreces is onnodig en roept vragen op over de zorgvuldigheid van het proces. Bovendien wordt zo het Europarlement de kans ontnomen om voor de activering van Privacy Shield met een eigen oordeel te komen, aangezien onze volgende plenaire sessie pas in september zal zijn.
5. Wie zou beschermd moeten worden door Privacy Shield? De tekst spreekt over 'EU-individuals' – moet je een EU-paspoort hebben, of betreft het alle ingezetenen?
De laatste versie van Privacy Shield maakt duidelijk dat iedereen in de EU bescherming geniet en niet alleen mensen met een paspoort van een van de lidstaten. Dat is een eis van het Europese Handvest voor de Rechten van de Mens. Iedereen in de EU heeft dus dezelfde – beperkte – bescherming in de VS.
6. Volgens de opinie van de Artikel 29 Working Party in april konden Amerikaanse bedrijven de persoonsgegevens van Europeanen te makkelijk gebruiken voor allerlei doelen waarvoor ze niet verzameld waren. Is dat verbeterd?
De doelbinding van persoonsgegevens is wel wat aangescherpt in de laatste versie, maar blijft tekortschieten. Zo mogen Amerikaanse bedrijven nog steeds gegevens gebruiken voor doeleinden die niet passen bij het doel waarvoor ze verzameld zijn, maar moeten ze degene over wie de gegevens gaan dan wel de optie geven om dat te weigeren.
7. Bedrijven als Google en Facebook kunnen zichzelf certificeren als ze vinden dat ze voldoen aan de voorschriften van Privacy Shield. Wat vinden jullie van deze zelfcertificering?
Zelfcertificatie is een van de belangrijkste problemen waaraan Safe Harbor, de voorganger van Privacy Shield, leed. Het is overgenomen in Privacy Shield en blijft een zwakke plek in het hele verhaal. Zelfscertificatie biedt volgens ons te weinig zekerheid.
8. De klachtenprocedure in Privacy Shield stelt dat het mogelijk is een klacht tegen een Amerikaans bedrijf in te dienen bij de Autoriteit Persoonsgegevens in je eigen land, maar alleen als het bedrijf in kwestie dat heeft toegestaan. Wat betekent dat?
Privacy Shield is op dit punt niet erg duidelijk. Het hoofdstuk over de rol van de nationale autoriteiten persoonsgegevens bij conflicten klinkt alsof het alleen verplicht is voor bedrijven die zichzelf certificeren onder Privacy Shield voor zover het personeelsgegevens betreft. Het hoofdstuk over het oplossen van conflicten en handhaving stelt echter dat bedrijven snel moeten antwoorden op alle klachten van de autoriteiten persoonsgegevens. Deze onduidelijkheid zal weggenomen moeten worden.
9. Als een bedrijf zelfs na een klacht niet voldoet aan de voorschriften van Privacy Shield, kunnen de Amerikaanse autoriteiten een zaak overnemen, toch?
Ja. Hoewel de Federal Trade Commission niet verplicht is om een onderzoek te starten en Privacy Shield in ieder individueel geval te handhaven. Alleen als het relevant is voor het functioneren van de markt ligt dat anders. Het blijft dus afwachten of deze optie in Privacy Shield werkelijk iets op zal leveren. De FTC is wat dat betreft een heel andere organisatie dan een Europese autoriteit persoonsgegevens, die verplicht is om klachten van burgers te onderzoeken. De andere optie is dat het Amerikaanse Ministerie van Economische Zaken – Department of Commerce – de zaak oppakt, maar dit is een onderdeel van de Amerikaanse overheid en dus geen onafhankelijke partij, wat wel vereist is volgens de EU-verdragen.
10. Betekent dit dat de Europese autoriteiten persoonsgegevens geen mogelijkheden hebben de Privacy Shield-voorschriften te handhaven in de VS? Als er een conflict ontstaat tussen een Europeaan en een Amerikaans bedrijf, kan de zaak alleen worden afgedaan in de VS? Hoe is dat een verbetering?
Dat lijkt inderdaad het geval te zijn, maar Privacy Shield maakt wel duidelijk dat de autoriteiten persoonsgegevens de mogelijkheid behouden om een bedrijf te verplichten de overdracht van gegevens naar de VS op te schorten, als niet wordt voldaan aan de eisen van de Europese wet. Deze mogelijkheid is trouwens ook vastgelegd in de uitspraak van het Europese Hof van Justitie in de zaak-Schrems. De autoriteiten persoonsgegevens hebben van het Hof een machtsmiddel gekregen – de vraag is nog wel of ze dat middel in zullen durven zetten.
11. De samenwerkende autoriteiten persoonsgegevens stelden in hun opinie in april dat het in bulk verzamelen van persoonsgegevens door de inlichtingendiensten onacceptabel was. Is de tekst op dit punt verbeterd?
De definitieve versie van Privacy Shield veronderstelt dat het in bulk verzamelen van gegevens iets anders is dan massasurveillance, en daardoor niet in strijd met de uitspraak van het Hof in de zaak-Schrems. Er ligt geen wezenlijke aanpassing van de Amerikaanse wetgeving of werkwijze aan ten grondslag. De VS kan nog steeds gegevens in bulk kan verzamelen en kan gebruiken met zes breed gedefinieerde doelen van onderzoek, waaronder al bijna alles te vatten is, en die de VS zelfstandig en zelfs in het geheim kan uitbreiden.
12. De VS maakt onderscheid tussen het 'in bulk' en het 'massaal en ongericht' verzamelen van persoonsgegevens door inlichtingendiensten. Wat is het verschil?
Het is niet makkelijk om onderscheid te maken tussen deze twee termen – en het lijkt meer een taalspelletje dan een wezenlijk onderscheid. Alleen de Amerikaanse regering zou hierover duidelijkheid kunnen verschaffen. Volgens ons is het een poging om te verhullen dat de VS onverminderd doorgaat met het aftappen van online communicatie. Eerder werd al duidelijk dat zelfs het woord 'verzamelen' niet hoeft te betekenen wat je denkt. De Amerikaanse inlichtingendiensten vinden dat gegevens pas 'verzameld' zijn als er daadwerkelijk naar is gekeken door een persoon. Het Europese Hof heeft echter herhaaldelijk duidelijk gemaakt dat het geautomatiseerd verzamelen van gegevens en communicatie al een inbreuk vormt op de rechten van burgers en met waarborgen moet zijn omkleed.
13. In april stelden de samenwerkende autoriteiten persoonsgegevens vragen over de onafhankelijkheid van de nieuwe ombudspersoon in de VS. Is de status van deze persoon verbeterd?
Nee, er is geen verbetering. De ombudspersoon moet toezicht gaan houden op misbruik van gegevens van Europeanen door de inlichtingendiensten, maar is zelf onderdeel van het Ministerie van Buitenlandse Zaken. Privacy Shield stelt dat de ombudspersoon onafhankelijk is van de inlichtingendiensten, maar dat voldoet niet aan het vereiste van Artikel 16 van het Verdrag voor het Functioneren van de Europese Unie. De ombudspersoon is in feite een diplomaat die verantwoording aflegt aan de Minister van Buitenlandse Zaken en dus niet voldoende onafhankelijk. Het Europese Hof van Justitie heeft hierover al eerder glasheldere uitspraken gedaan en zal vrijwel zeker niet instemmen met dit deel van Privacy Shield.
14. De definitieve versie van Privacy Shield bevat een sectie over 'geautomatiseerde verwerking van persoonsgegevens ten behoeve van beslissingen die het individu kunnen raken'. Hoe dat zo?
We weten niet waarom dit is opgenomen in deze definitieve versie. We vermoeden dat dit is overgenomen uit de nieuwe Europese verordening gegevensbescherming, die ook zo'n bepaling bevatten. De Amerikaanse variant is alleen beperkt tot drie specifieke domeinen (twee over kredieten en een over wonen). Dat is niet vergelijkbaar met de Europese situatie. Privacy Shield kent verder geen specifieke bepalingen die deze geautomatiseerde beslissingen verbieden en het is teleurstellend dat Amerika en de Europese Commissie niet verder komen dan een belofte om een dialoog te beginnen over dit onderwerp.