In december 2018 heeft de Europese Commissie bekeken of het EU-US Privacy Shield nog het vereiste niveau van gegevensbescherming geeft. Uit de evaluatie blijkt dat de bescherming van persoonsgegevens in de Verenigde Staten het afgelopen jaar is verbeterd. Wel eist de Europese Commissie dat de Amerikaanse regering uiterlijk 28 februari 2019 een permanente Ombudsman voor privacy aanstelt. Het voortbestaan van het Privacy Shield is belangrijk voor decentrale overheden die persoonsgegevens doorsturen naar organisaties die in de VS gevestigd zijn.
Wat is het EU-US Privacy Shield?
Volgens de Europese wetgeving voor gegevensbescherming is het doorgeven van persoonsgegevens aan landen buiten de EU of internationale organisaties niet zomaar toegestaan. De voorwaarden waarop dit mogelijk is staan in hoofdstuk vijf van de Algemene verordening gegevensbescherming (AVG). De Europese Commissie kan bijvoorbeeld een zogeheten ‘adequaatheidsbesluit’ nemen. Middels zo’n besluit wordt verklaart dat een derde land – of een bepaald gebied daarbinnen – een passend beschermingsniveau voor de omgang met persoonsgegevens waarborgt dat vergelijkbaar is met het beschermingskader van de Europese Unie. Momenteel heeft de Commissie dertien van deze besluiten genomen, waaronder met Israel, Zwitserland en Japan.
Het besluit van de Commissie over de Verenigde Staten is wat bijzonder: de erkenning van een passend beschermingsniveau geldt niet voor het gehele land, maar slechts voor de organisaties die zich binden aan bepaalde principes. In de VS geldt namelijk geen algemene wetgeving voor de bescherming van persoonsgegevens. De “privacy principes” zijn vergelijkbaar met de verwerkingsbeginselen uit de AVG. Het betreft bijvoorbeeld verplichtingen om transparant te zijn over welke persoonsgegevens worden verwerkt, voor welke doeleinden zij dit doen en het nemen van passende beveiligingsmaatregelen. Organisaties in de VS kunnen zelf een certificaat aanvragen. Welke bedrijven zich gecertificeerd hebben is te vinden op de website van het Amerikaanse Department of Commerce, die toezicht houdt op de certificering. De lijst bevat momenteel 4376 gecertificeerde organisaties.
In de regeling staan verder andere afspraken tussen de EU en de VS over de toegang van Amerikaanse overheidsorganisaties tot de persoonsgegevens in verband met veiligheidsredenen, de controle op het certificeringsmechanisme en het garanderen van de rechten van betrokkenen. Ook is afgesproken dat de werking van het Privacy Shield jaarlijks wordt geëvalueerd.
Resultaten van de evaluatie
De resultaten van de tweede evaluatie werden afgelopen december door de Commissie gepubliceerd. Een aantal maanden daarvoor kwam het Privacy Shield al in het nieuws vanwege een resolutie van het Europees Parlement. De Europese instelling uitte in juli 2018 zijn zorgen over het toezicht van de EU op de werking van het Privacy Shield en de inspanningen van de Amerikaanse regering om het gewenste beschermingsniveau te blijven waarborgen. Het Parlement stelde dat de regeling op dat moment geen volwaardig niveau van bescherming omvatte en dat de Commissie het Privacy Shield moest opschorten indien de VS de vereisten uit de eerste evaluatie niet voor september 2018 zou doorvoeren. Het Europees Parlement nam de resolutie aan richting de Europese Commissie en de betreffende Amerikaanse autoriteiten.
Vijf maanden later trok de Europese Commissie de conclusie dat het niveau van bescherming middels het Privacy Shield nog steeds voldoet aan de eisen van de EU. Naar aanleiding van het eerste evaluatierapport is het toezicht op het certificeringsmechanisme versterkt: het Departement of Commerce voert bijvoorbeeld willekeurige controles uit om de certificering te controleren. Tevens zijn nieuwe leden benoemd van het toezichtsorgaan op de rechtmatigheid van het inzien van persoonsgegevens door de Amerikaanse overheid. Hiermee opereert dit Privacy and Civil Liberties Oversight Board weer op volle sterkte. Deze punten werden ook aangehaald in de resolutie van het Europees Parlement.
In navolging van het Parlement stelt de Commissie in het evaluatierapport wel een deadline aan het laatste punt dat de VS nog niet geheel heeft afgerond. Na de kritische resolutie heeft de Amerikaanse regering een interim ombudsman aangesteld. Middels deze ombudsman worden klachten die burgers over de omgang van autoriteiten met persoonsgegevens hebben behandelt. De Europese Commissie eist in het evaluatierapoprt dat deze positie voor 28 februari 2019 is ingenomen door een permanente vertegenwoordiger. Als dit niet gebeurt worden er passende maatregelen genomen, geeft de Commissie aan in het persbericht over de evaluatie.
Wat betekent dit voor decentrale overheden?
Of dit ook inhoudt dat het Privacy Shield na deze deadline (tijdelijk) opgeschort zou worden is niet bekend. Mocht het Privacy Shield wegvallen, zonder een vervangende regeling, zullen organisaties die persoonsgegevens naar momenteel nog gecertificeerde bedrijven sturen hier geen rechtmatige grondslag voor hebben. Het Witte Huis stuurde 24 januari 2019 echter een nominatie voor de permanente ombudsman (als onderfunctie van de Under Secretary of State for Economic Growth, Energy, and the Environment) uit. Het ziet er naar uit dat ook aan de laatste eis van de Europese Commissie voldaan gaat worden voor de gestelde deadline hiervoor bereikt is.
Dit betekent dat decentrale overheden die persoonsgegevens naar de VS sturen gebruik kunnen blijven maken van de bedrijven die zich bij het Privacy Shield hebben gecertificeerd. Het gaat dan vaak om bedrijven die servers aanbieden waar de persoonsgegevens zijn opgeslagen, of bedrijven via welk de nieuwsbrief wordt verstuurd. Mocht de regeling overigens wel worden opgeschort, hebben decentrale overheden ook nog andere manieren om persoonsgegevens door te geven aan een derde land zoals de VS. Zij kunnen bijvoorbeeld gebruikmaken van een van de drie modelcontracten die de Europese Commissie heeft opgesteld, of van bedrijven die zich houden aan bindende bedrijfsvoorschriften. Daarnaast kunnen persoonsgegevens in specifieke situaties worden doorgegeven aan de VS op basis van toestemming van de betrokkene, of om gewichtige redenen van algemeen belang. Meer informatie hierover staat ook op de website van de Autoriteit Persoonsgegevens.
Meer informatie:
De Algemene verordening persoonsgegevens, Kenniscentrum Europa Decentraal
Dataopslag in het Verenigd Koninkrijk, hoe zit dat met de AVG na de Brexit?, Praktijkvraag Kenniscentrum Europa Decentraal
EU-US Privacy Shield, Europese Commissie
Tweede jaarlijkse rapport over het functioneren van het EU-US Privacy Shield, Europese Commissie
Lijst deelnemende organisaties Privacy Shield, U.S. Government
Doorgifte binnen en buiten de EU, Autoriteit Persoonsgegevens
