Lees eerst: Je privacy op Amerikaanse servers en de val van Safe Harbor

Safe Harbor is inmiddels niet meer. Alle hoop is dan ook gevestigd op Privacy Shield. Dit is de vervanger van Safe Harbor die ervoor zou moeten zorgen dat gegevens van EU-burgers wel voldoende worden beschermd. De minister van Veiligheid en Justitie zegt dat het Privacy Shield een stap vooruit is. Zo zou de burger wiens gegevens worden verscheept meer zeggenschap krijgen over zijn gegevens. Er kan nu ook een Amerikaanse Ombudsman worden ingeschakeld om klachten over de inlichtingendiensten in behandeling te nemen als het om het Privacy Shield gaat.

Verder heeft de Europese Commissie een document opgesteld, de ‘Guide to the EU - US Privacy Shield’, die burgers meer duidelijkheid moet geven over hun rechten. Een belangrijk onderdeel is ook de toezegging die de VS moeten doen aan de Europese Commissie dat geen sprake zal zijn van ongerichte massasurveillance in de doorgevoerde gegevens uit de EU. 

Lees ook: Privacy Shield vanaf heden officieel in werking

De Europese Commissie is, net als de minister, tevreden over het Privacy Shield en stelt het maximale te hebben gedaan voor de privacy van burgers uit de EU. Eurocommissaris Jourová gaf dan ook aan dat de Commissie geen nieuwe wetgeving in de VS kan afdwingen en dat ze het maximale heeft gedaan als het om de totstandkoming van het Privacy Shield gaat.

Kritiek op Privacy Shield

Naast de positieve geluiden is er ook veel kritiek op het Privacy Shield. Zo worden de vergaande bevoegdheden van de inlichtingen- en veiligheidsdiensten van de VS niet direct aan banden gelegd. Het zou een kleine verbetering zijn, maar zou net als Safe Harbor onvoldoende privacybescherming geven. 

Microsoft maakt al gebruik van Privacy Shield

De Europese privacytoezichthouders hebben nog geen oordeel geveld over het Privacy Shield. Ze hebben aangegeven te wachten met de handhaving van het Privacy Shield tot de nieuwe en verplichte jaarlijkse evaluatie van het Privacy Shield plaatsvindt. Ondertussen zijn er al 200 aanvragen voor het Privacy Shield in behandeling genomen bij Departement van Handel van de VS. Bedrijven zoals Microsoft maken al gebruik van het Privacy Shield als grondslag voor het doorzenden van gegevens naar Amerika.

Lees ook: 4 vragen (en antwoorden) over Privacy Shield

De afgelopen jaren hebben de privacytoezichthouders zich opvallend terughoudend opgesteld als het gaat om de internationale gegevensoverdracht naar de VS. Dit kwam doordat zij niet de bevoegdheid hadden om Safe Harbor, een besluit van de Europese Commissie, in twijfel te trekken. Dit is veranderd door de komst van het Privacy Shield. Nationale toezichthoudende instanties zoals de Autoriteit Persoonsgegevens mogen nu ook onderzoek doen naar gegevensoverdracht naar landen buiten de EU. Naar verwachting zullen de toezichthouders de Europese modelcontracten en Binding Corporate Rules (BCR’s) op termijn ook onder de loep nemen.

Binding Corporate Rules

Naast het Privacy Shield kunnen bedrijven ook andere opties aangrijpen om gegevensoverdracht tussen de EU en VS mogelijk te maken. Zo kunnen ze Binding Corporate Rules (BCR’s) opstellen waarmee kan worden bewezen dat gegevens veilig zijn buiten de EU. 

BCR's zijn voor bedrijven die intern persoons-gegevens doorvoeren

BCR’s zijn regels die bedrijven intern moeten doorvoeren om persoonsgegevens organisatiebreed te beschermen. Als alle vestigingen van een bepaalde organisatie de BCR’s gebruiken, kunnen gegevens in principe veilig naar een eigen vestiging buiten de EU worden doorgezonden. Vaak maken internationale bedrijven en multinationals gebruik van dergelijke regels. 

Voordat BCR’s worden gebruikt, moeten Europese toezichthouders controleren of de BCR’s voldoen aan de privacywetgeving. De goedkeuring van BCR’s verloopt erg traag. Zo duurt het gemiddeld een jaar voordat er een oordeel kan worden geveld over opgestelde BCR’s. Dit komt doordat niet één maar meerdere privacytoezichthouders in Europa de BCR’s moeten goedkeuren.

Modelcontracten

Een andere manier om de doorgifte van persoonsgegevens naar de VS goed te laten verlopen, is het gebruik van modelcontracten. Dit zijn contracten die vooraf zijn goedgekeurd door de Europese Commissie. Bedrijven mogen modelcontracten niet aanpassen of aanvullen, als ze dat wel doen moeten ze apart een vergunning aanvragen bij de privacytoezichthouder. 

De Europese Commissie heeft op dit moment drie soorten modelcontracten goedgekeurd die op de website van de Commissie staan gepubliceerd. Modelcontracten zijn bewerkelijker dan het Privacy Shield, maar zijn wel veiliger om te gebruiken voor bedrijven omdat het Privacy Shield nu op losse schroeven lijkt te staan.

Uitzonderingen

Als je als bedrijf eenmalig of op een kleine schaal gegevens wilt doorsturen naar de VS, hoef je het Privacy Shield, BCR’s of modelcontracten niet per se te gebruiken. Je kunt simpelweg gebruikmaken van een wettelijke uitzondering of een vergunning aanvragen bij de minister van Veiligheid en Justitie. De Wet bescherming persoonsgegevens kent verschillende uitzonderingen die gegevensoverdracht op kleine schaal mogelijk maken. 

© PXimport

Zo mag je, als je daarvoor ondubbelzinnige toestemming hebt verkregen, persoonsgegevens naar de VS doorzenden. In het geval van toestemming is het belangrijk dat betrokkenen wel goed worden geïnformeerd over de gegevensoverdracht. Daarnaast mag je met een vergunning van de Minister van Veiligheid en Justitie ook gegevens verschepen. Hiervoor moet je een aanvraag indienen bij de Autoriteit Persoonsgegevens waarna de minister uiteindelijk besluit of de vergunning zal worden verstrekt.

Op dit moment is er veel te doen over de uitwisseling van passagiersgegevens in het kader van terrorismebestrijding. Maar als gegevensuitwisseling noodzakelijk is om een overeenkomst uit te voeren, wat het geval is als een vliegticket wordt gereserveerd, dan mogen gegevens ook worden doorgezonden naar de VS. 

Gegevensuitwisseling is ook toegestaan als het algemeen belang of het vitaal belang van iemand heel zwaar wegen, bijvoorbeeld als iemand moet worden geïnformeerd over een rechtszaak of als een burger uit de EU in een Amerikaans ziekenhuis terechtkomt. Verder mag doorgifte plaatsvinden op grond van een bij wet ingesteld register, zoals het handelsregister of faillissementsregister.

Hoe als bedrijf te voldoen aan privacywet?

Om te voldoen aan de privacywetgeving, kunnen Nederlandse bedrijven het best de gegevensstromen binnen hun organisatie in kaart brengen. Het is belangrijk om een beeld te hebben van de persoonsgegevens die worden verwerkt. Vervolgens kan worden vastgesteld of de gegevens wel of niet worden overgedragen naar een land buiten de EU. 

Overweeg om verwerking van persoonsgegevens binnen Europa te houden

Als persoonsgegevens buiten de EU worden verwerkt door bewerkers, is het verstandig gebruik te maken van de modelclausules voor bewerkers die de Europese Commissie heeft vastgesteld en goedgekeurd. Bedrijven moeten vooral nagaan of ze de verwerking van persoonsgegevens niet liever willen laten plaatsvinden in de EU. Op die manier lopen bedrijven namelijk geen risico als het Hof van Justitie weer een grond voor gegevensdoorgifte naar de VS wegvaagt.

En nu?

Er is veel kritiek op de manier waarop in de Verenigde Staten wordt omgegaan met persoonsgegevens uit Europa. Hierdoor is er relatief weinig aandacht voor andere gegevensregimes. China en Rusland zijn ook omstreden wat privacy betreft. Toch valt er in het bijzonder iets te zeggen over de ingrijpende manier waarop de VS met persoonsgegevens omgaan.

Zo wordt er ondanks de kritiek vanuit Europa in het geheim verder gewerkt aan een zogenaamde Umbrella Agreement. Dit is een verdrag dat de toegang tot de gegevensstromen tussen de EU en de VS verder moet regelen in het kader van terrorismebestrijding en strafrechtelijk onderzoek. Het is te hopen dat er bij het opstellen van dit nieuwe verdrag meer rekening wordt gehouden met gegevensbescherming. Het recht op een persoonlijke levenssfeer is niet voor niets een grondrecht.