Het EU-VS Privacyschild. Meer dan een mooi logo?

Het lijkt wel of de Europese Commissie vastbesloten is om van het nieuwe EU-US Privacy Shield een mediasucces te maken. Vorige maand communiceerde ze al met een teaser waarin ze een blits logo aan het publiek kenbaar maakte, en dat zonder bijna enige juridische duiding.

Op 29 februari publiceerde de Commissie dan toch de langverwachte juridische omkadering. Die omkadering omvat zowel een opsomming van de Privacy Shield principes, een schriftelijke verklaring van de instanties uit de VS, hoe deze principes afgedwongen moeten en enkele belangrijke waarborgen voor de uitvoering van de overeenkomst.

Wat verandert er?

Wellicht het belangrijkste om te noteren is dat datauitwisseling tussen de EU en VS onder het nieuwe privacyschild onder dezelfde (strikte) waarborgen moeten behandeld worden als intern dataverkeer binnen de EU. Dit was ook een vereiste opgenoemd in de uitspraak van het Europees Hof van Justitie. Autoriteiten in de VS hebben toezeggingen gedaan om de strikte naleving van het privacyschild te garanderen, met de belangrijke waarborg dat de nationale veiligheidsdiensten zich zullen onthouden van willekeurig of grootschalig toezicht (met andere woorden: individueel toezicht door een veiligheidsdienst uit de VS op een Europese burger kan nog steeds, mits motivatie en afdoende reden).

Hiervoor heeft de minister van Buitenlandse Zaken van de VS John Kerry aan de EU verzekerd dat EU-burgers op het gebied van nationale veiligheid hun beklag kunnen doen bij een privacy-ombudsman, weliswaar eentje binnen ditzelfde ministerie van Buitenlandse Zaken. Men kan hier al kanttekenen in hoeverre de onafhankelijkheid en efficiënte van zo’n interne ombudsman gegarandeerd zal zijn. Het was beter geweest om een Europese externe privacy-ombudsman te voorzien. De honger naar informatie van de VS veiligheidsdiensten zal op dit punt toch hebben doorgewogen.

Nieuw organisme voor klachten

Al moeten we opmerken dat er ruimere waarborgen zijn dan enkel voor de VS veiligheidsdiensten. Zo kunnen burgers ook direct naar de inbreukmakende onderneming stappen, die hun klachten binnen de 45 dagen moeten oplossen. Gebeurt dat niet, dan kan de EU-burger zijn ‘nationale gegevensbeschermingsautoriteit’ (ofwel gewoon de lokale Privacycommissie) inschakelen om alsnog de klacht op te lossen. Brengt dit alles geen soelaas, dan moet een nog in het leven te roepen arbitragemechanisme een finale en afdwingbare beslissing maken.

Om niet te blijven steken bij een aardige maar dode tekst, heeft de Commissie voorzien in een jaarlijks evaluatiesysteem, waarbij de werking, toezicht en wederzijdse verbintenissen onder de loep worden genomen. Een jaarlijkse ‘privacytop’, georganiseerd door de Commissie en open voor ‘geinteresseerde ngo’s en belanghebbenden’ staat ook ingepland. In hoeverre daar de nodige waarborgen en bestraffingsmechanismen voor handen zijn, blijft koffiedik kijken.

Alles bij elkaar wel een mooie aanzet om de privacy van Europese burgers beter te gaan beschermen, al is het jammer dat het daarvoor wachten was op een vernietigende uitspraak van het Europees Hof. Deze aanzet moet nu wel nog door een serie van adviserende comité’s, wat de VS ondertussen de tijd geeft om de nodige voorbereidingen te treffen. De legislatieve kant van het verhaal in de VS is wel reeds zo goed als rond, zodat het vooral wachten is op de raamovereenkomst en de instemming van het Europees parlement. Goede hoop, dat hebben toch al.

Conclusie

De Europese Commissie heeft het niet makkelijk tegenwoordig. Enerzijds moet ze voldoen aan de groter wordende groep van privacyactivisten die hun kritiek steeds beter kunnen verwoorden in traditionele media. Het helpt ook niet dat het Europees Hof een alsmaar strikterere positie inneemt ter bescherming van persoonlijke data. Aan de andere kant staan grote financiële en economische belangen met hun lobby tegen de kar te drukken. Hoe meer privacytoezeggingen, hoe meer rompslomp, hoe moeilijker de handelsbetrekkingen worden. Dat alles ontegensprekelijk heeft zijn effect op de mondiale economie, aangezien de VS en de EU er meer dan winstgevende handelsbetrekkingen erop nahouden. De Facebook’s & Google’s in deze wereld mogen dan vriendelijk verkondigen dat ze je privacy belangrijk vinden, de inkomsten uit hun advertenties vinden ze toch allemaal nog nét iets belangrijker.

Vice-President Ansip: “Now we start turning the EU-U.S. Privacy Shield into reality. Both sides of the Atlantic work to ensure that the personal data of citizens will be fully protected and that we are fit for the opportunities of the digital age. (…) We will continue our efforts, within the EU and on the global stage, to strengthen confidence in the online world. Trust is a must, it is what will drive our digital future.”

De mediakant zit alleszins al prima bij de Commissie. Nu uitkijken voor de rest.