Op 12 juli 2016 heeft de Europese Commissie het Privacy Shield aangenomen. Dit nieuwe kader voor gegevensoverdracht tussen Europa en de V.S. moet de rechten van Europeanen beter beschermen indien gegevens over hen worden overgedragen aan Amerikaanse bedrijven en organisaties.
Door Céline Teeuwen
Het Privacy Shield is de vervanger van de oude Safe Harbour-beschikking, die in oktober 2015 ongeldig werd verklaard door het Europese Hof van Justitie. Sinds oktober 2015 konden bedrijven hun overdracht van persoonsgegevens niet meer op Safe Harbour baseren, waardoor ze andere gronden voor overdracht moesten zoeken. Een voorbeeld hiervan waren de EU Model Contracten, hoewel de geldigheid daarvan ook niet onbesproken bleef.
Het nieuwe kader moet de rechten van Europeanen beter beschermen dan Safe Harbour voorheen deed. Hiertoe is een aantal uitgangspunten bepaald: zo worden bedrijven die zich aansluiten – en zich voor hun gegevensuitwisseling met Europese bedrijven dus baseren op het Privacy Shield – regelmatiger gecontroleerd door het Amerikaanse Ministerie van Handel. Sancties kunnen worden opgelegd indien niet wordt voldaan aan de voorwaarden.
Meer waarborgen
Daarnaast heeft de V.S. volgens de Europese Commissie “de verzekering gegeven dat de toegang van overheidsinstanties met het oog op rechtshandhaving en de nationale veiligheid” onderworpen is aan meer waarborgen en toezichtmechanismen, waarmee de inmiddels welbekende mass surveillance-praktijken verleden tijd zouden moeten worden. In dit verband wordt ook een Privacy Shield Ombudsperson in het leven geroepen, die individuele klachten van burgers in behandeling moet nemen en bekijkt of er in overeenstemming met wet- en regelgeving wordt gehandeld. Het Privacy Shield wordt jaarlijks geëvalueerd door de Europese Commissie en het Amerikaanse Ministerie van Handel, waarna een rapport over de bevindingen wordt opgemaakt en verstrekt aan het Europees Parlement en de Raad.
De beslissing van de Commissie tot goedkeuring van het nieuwe Privacy Shield is op 12 juli onmiddellijk in werking getreden. Sinds vorige week, 1 augustus 2016, kunnen Amerikaanse bedrijven en organisaties zich daadwerkelijk aanmelden voor certificering. Nog steeds gaat het hier om zelf-certificering; bedrijven geven aan zich te zullen houden aan de principes uit het Privacy Shield. Bedrijven die zich echter meerdere malen niet houden aan de principes worden verwijderd uit het register van aangesloten organisaties. Of het nieuwe Privacy Shield werkelijk een verbetering is ten opzichte van Safe Harbour is de vraag. Volgens privacy-activist Max Schrems is het Shield maar een kleine verbetering, vooral voortkomend uit druk vanuit de V.S. en grote bedrijven en zelfs “very likely to fail again, as soon as it reaches the CJEU”.