EU-US Privacy Shield… the devil is in the details

Het was groot nieuws afgelopen dinsdag – althans in de privacy wereld – de bekendmaking van de deal die de Europese Commissie met de VS heeft gesloten ter vervanging van de Safe Harbor regeling. Hoewel de oorspronkelijke deadline werd gemist, leken vicepresident Ansip en commissaris Jourová zeer content met feit dat het dan toch was gelukt een deal te sluiten. En helemaal in hun nopjes leken ze met het logo, dat ook alvast was ontworpen.

Even opfrissen: in oktober van dit jaar besloot het Europese Hof van Justitie dat de Safe Harbor regeling tussen de EU en de VS ongeldig was, omdat het de privacy van Europese burgers onvoldoende zou waarborgen. Hierover schreven wij ook al in een eerdere blog. De Safe Harbor regeling maakte het mogelijk dat persoonsgegevens doorgegeven mochten worden aan bedrijven en organisaties in de VS, mits deze bij de regeling waren aangesloten. Persoonsgegevens mogen op grond van de Europese richtlijn namelijk alleen doorgegeven worden aan landen die deze gegevens op passende wijze en naar Europese maatstaven beschermen. De VS biedt dat passende beschermingsniveau niet. Om het toch mogelijk te maken om (makkelijk) gegevens met de VS uit te wisselen, is de Safe Harbor regeling tot stand gekomen.

De regeling was al jaren een doorn in het oog van privacy voorvechters. Niet alleen stonden er bedrijven op de Safe Harbor lijst die niet bepaald zorgvuldig met persoonsgegevens omsprongen, maar ook was in de regeling opgenomen dat het Amerikaanse recht deze kan overrulen.

Luid gejuich dus vanuit de hoek van de (Europese) privacy voorvechters, na het oordeel van het Europese hof. Lichte paniek echter bij veel bedrijven die persoonsgegevens op basis van Safe Harbor met de VS uitwisselde.

En dus moest de Europese Commissie aan de slag. Een snelle oplossing was dringend nodig, er spelen immers grote economische belangen. Door de uitspraak van het Europese Hof werden partijen naar de onderhandelingstafel gedwongen. We kunnen er vanuit gaan dat deze onderhandelingen stevig waren, maar even stevig zal ook de lobby zijn geweest. En dan met name de Amerikaanse lobby, vanuit de overheid, het bedrijfsleven en de Amerikaanse inlichtingendiensten. De vraag is in welke mate deze lobby van invloed is geweest op de details in het akkoord dat de EU en de VS nu hebben gesloten. Want de duivel zit, zoals altijd, in de details.

De hoofdlijnen van de deal maakte de Commissie gisteren bekend en zijn als volgt:

• Er zullen strengere verplichtingen komen voor Amerikaanse bedrijven die gegevens van Europeanen verwerken. De US. Federal Trade Commission zal toezien op de naleving van deze verplichtingen. Daarnaast zullen bedrijven verplicht zijn te voldoen aan beslissingen die door Europese privacy toezichthouders worden genomen.
• Er komen heldere waarborgen en verplichtingen m.b.t transparantie wanneer de Amerikaanse overheid toegang krijgt tot persoonsgegevens van Europese burgers.
• Europese burgers kunnen rekenen op effectieve bescherming en er zal in diverse beroepsmogelijkheden worden voorzien. Zo krijgen bedrijven deadlines om te reageren op klachten en kunnen klachten doorverwezen worden naar de US. Federal Trade Commission. Ook zullen er mogelijkheden voor kosteloze alternatieve geschillenbeslechting komen. Voor klachten met betrekking tot de mogelijke toegang van de Amerikaanse overheid zal een ombudsman ingesteld worden.

Mooie woorden, maar door sommigen wordt het nu al afgedaan als een “zoethoudertje”. Zonder de uitwerking te hebben gezien, vind ik dat iets te pessimistisch. Maar dat de uitwerking cruciaal is voor de waarde van de deal, dat kan ik niet ontkennen. Hoe gaat de US Federal Trade Commission toezicht houden op bedrijven, wat zijn de consequenties voor bedrijven die zich niet aan de nieuwe regels houden en in hoeverre zal de Amerikaanse overheid hun massasurveillance aan banden leggen om aan Europese standaarden te voldoen? Het is maar een greep uit de vragen die opkomen. Hoewel ook ik sceptisch ben, zie ik ook wel een lichtpuntje. We hebben de VS aan de onderhandelingstafel gekregen. Ik heb er dan ook alle vertrouwen in dat we ze terug naar de onderhandelingstafel halen, mocht de uitwerking van het Privacy Shield nog steeds niet overeenstemmen met onze Europese standaarden voor privacy en de bescherming van persoonsgegevens.

Wat de EU-US Privacy Shield voor onze privacy en de behandeling van onze persoonsgegevens zal betekenen, daar zullen we nog wel even op moeten wachten. Voor nu moeten we het doen met enkel het prachtige logo.

Lees hier het officiële persbericht van de Europese Commissie en bekijk hier de voorlopige reactie van de Artikel 29 Werkgroep, het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders.

Wordt vervolgd…