EU-U.S. Privacy Shield – Hoe werkt het?

Het Hof van Justitie van de Europese Unie heeft op 6 oktober 2015 een streep gezet door de zogenaamde Safe Harbor beslissing van de Europese Commissie. Op basis van Safe Harbor konden partijen in de EU rechtsgeldig persoonsgegevens doorgeven aan ondernemingen in de Verenigde Staten die Safe Harbor gecertificeerd waren. Deze rechtsbasis verviel door de beslissing van het Hof. Veel ondernemingen verkeerden in onzekerheid of zij nu nog wel persoonsgegevens naar de Verenigde Staten mochten doorgeven. In deze lacune is voorzien door het nieuwe EU–U.S. Privacy Shield.

Hoe zit het met doorgifte van persoonsgegevens aan landen buiten de EU?

Europa heeft andere opvattingen over bescherming van persoonsgegevens dan veel andere landen, zoals de Verenigde Staten. Om persoonsgegevens van Europese burgers te beschermen, bepaalt de Europese Privacyrichtlijn dat persoonsgegevens alleen naar landen buiten de EU mogen worden doorgegeven als daar sprake is van een ‘passend beschermingsniveau’ voor deze persoonsgegevens.

De Europese Commissie kan besluiten dat bepaalde landen, of een set van afspraken met een bepaald land een ‘passend beschermingsniveau’ bieden. Op basis van een dergelijke ‘adequacy decision’ hebben Europese ondernemingen zekerheid dat doorgifte van persoonsgegevens is geoorloofd. Safe Harbor was een ‘adequacy decision’, maar het Europese Hof heeft deze ongeldig verklaard. De Verenigde Staten en de EU hebben nu overeenstemming bereikt over een nieuw arrangement, het EU – U.S. Privacy Shield. De Europese Commissie heeft op 12 juli besloten dat deze set van afspraken een ‘passend beschermingsniveau’ biedt voor de bescherming van persoonsgegevens die worden doorgegeven naar ondernemingen in de Verenigde Staten die zich hiervoor hebben gecertificeerd.

Naast het EU – U.S. Privacy Shield bestaan er ook andere mogelijkheden om rechtsgeldig persoonsgegevens door te geven aan een partij in de U.S., zoals de zogenaamde Standard Contractual Clauses. Dat betreft een door de Europese Commisie goedgekeurde set contractuele afspraken tussen een data exporteur in de EU en data importeur in de U.S. die een voldoende niveau van bescherming van persoonsgegevens waarborgen. In de blog focus ik verder op het EU – U.S. Privacy Shield.

Hoe werkt het EU – U.S. Privacy Shield?

Amerikaanse bedrijven kunnen zich sinds 1 augustus 2016 voor het EU – U.S. Privacy Shield certificeren via de website www.privacyshield.gov van het U.S. Department of Commerce. Om voor certificering in aanmerking te komen, moeten ze aan de ‘EU-U.S. Privacy Shield Framework Principles’ voldoen die in het EU-U.S. Privacy Shield zijn beschreven. Ieder jaar moet de certificering worden vernieuwd. Gecertificeerde bedrijven moeten hun privacy statement op hun website zetten. Dat privacy statement moet voldoen aan de EU-U.S. Privacy Shield Principles. Verder moeten zij op hun website weblinks opnemen naar de website van het Department of Commerce, de Privacy Shield List (de lijst met gecertificeerde bedrijven) en naar de website van een degelijke partij die geschillen over privacy door middel van alternatieve geschillenbeslechting kan oplossen.

Europese bedrijven kunnen op www.privacyshield.gov/list/ checken welke bedrijven op de Privacy Shield List staan. Aan die bedrijven kunnen zij persoonsgegevens doorgeven. Daarbij geldt wel dat ook aan de overige regels voor het verwerken van persoonsgegevens moet zijn voldaan. Inmiddels staat er al een aantal bedrijven op de lijst, waaronder Microsoft. Verder wordt op voornoemde website een lijst opgenomen van bedrijven die van de Privacy Shield List zijn verwijderd met vermelding van de reden.

Aan welke eisen moeten de Amerikaanse bedrijven voldoen voor certificatie voor het EU – U.S. Privacy Shield?

Gecertificeerde bedrijven moeten onder meer aan de volgende Principles voldoen:

  • Notice Principle
  • Data Integrity and Purpose Limitation Principle
  • Choice Principle
  • Security Principle
  • Access Principle
  • Recourse, Enforcement and Liability Principle
  • Accountability for Onward Transfer Principle

Het voert binnen de context van deze blog te ver om alle Principles in detail uit te werken, maar ik wil er twee uitlichten die vooral in relatie tot de ‘oude’ Safe Harbor regels zijn aangescherpt.

Allereerst ten aanzien van het Recourse, Enforcement and Liability Principle. De mogelijkheden voor de Europese burger om verhaal te halen bij privacyschendingen zijn versterkt. Eén van de kritiekpunten op de oude Safe Harbor regeling was dat de Europese burger in feite nergens terecht kon als een Amerikaanse ontvanger van persoonsgegevens zijn privacyrechten schond. Het EU-U.S. Privacy Shield noemt zeven mogelijkheden om vrijelijk uit te kiezen. Om verhaal te halen via het arbitraal panel (optie 6 hieronder), moeten wel eerst andere opties om tot een oplossing te komen, zijn uitgeput.

De betrokkene kan:

  1. direct contact opnemen met de onderneming die zich heeft gecertificeerd voor het EU-U.S. privacyshield;
  2. een klacht indienen bij een door de gecertificeerde onderneming aangewezen onafhankelijke geschillenoplossing instantie in de U.S. of de EU;
  3. een klacht indienen via de Autoriteit Persoonsgegevens (AP);
  4. via de Autoriteit Persoonsgegevens een klacht in behandeling geven aan het Amerikaanse Department of Commerce;
  5. zich rechtstreeks of via de Autoriteit Persoonsgegevens of via een onafhankelijke geschillenoplossing instantie wenden tot de Amerikaanse Federal Trade Commission (FTC);
  6. als de voorgaande opties niets opleveren als allerlaatste redmiddel de klacht ter beslechting voorleggen aan het Privacy Shield Panel voor bindende arbitrage;
  7. zich ook altijd nog tot de rechter in de U.S. wenden.

Voor iedere optie is in bepaalde waarborgen voorzien. Als een onderneming bijvoorbeeld niet thuis geeft, kan hij van de Privacy Shield List worden geschrapt. Op de website www.privacyshield.gov worden de redenen hiervan vermeld, een soort ‘naming and shaming’ effect dus.

Ten tweede een opmerking ten aanzien van het Accountability for Onward Transfer Principle. Het gaat hier over de verdere doorgifte van persoonsgegevens door Amerikaanse EU–U.S. Privacy Shield gecertificeerde ondernemingen aan derden. Dat is slechts toegestaan voor (i) beperkte en specifieke doeleinden, (ii) op basis van een contract dat waarborgt dat de derde hetzelfde niveau van bescherming van persoonsgegevens biedt als onder het EU–U.S. Privacy Shield.

Privacy Shield Ombudsperson

Tot slot nog iets over de Privacy Shield Ombudsman. Eén van de redenen dat de Safe Harbor regeling is gesneuveld, was dat de Amerikaanse overheid ongebreideld toegang had tot gegevens van Europese burgers die op basis van Safe Harbor aan Amerikaanse ondernemingen waren doorgegeven. Ook bestond er voor de Europese burger geen beroepsmogelijkheid als hij van mening was dat de Amerikaanse overheid ten onrechte zijn gegevens had verkregen. Het EU–U.S. Privacy Shield gaat pagina’s lang over de privacywaarborgen die nu gelden voor het gebruik van persoonsgegevens door de Amerikaanse overheid, waaronder het instellen van een onafhankelijke Privacy Shield Ombudsperson. Bij deze Ombudsman kunnen via de zogenaamde ‘EU individual complaint handling body’ klachten worden ingediend indien een Europese burger van mening is dat de Amerikaanse overheid zijn privacyrechten heeft geschonden.

Als u vragen hebt over het EU – U.S. Privacy Shield of over het doorgeven van persoonsgegevens aan de Verenigde Staten in het algemeen, neem dan gerust contact op. Wij helpen u graag verder.