Is Privacy Shield II wél sterk genoeg?

April 23, 2022

Eind maart kwamen de Europese Commissie en de regering-Biden met een verrassend bericht: Zij hadden een principeakkoord bereikt over het reanimeren van Privacy Shield. Het oude Privacy Shield, dat doorgifte van persoonsgegevens aan bedrijven in de VS mogelijk maakte, was in 2020 vernietigd door het Europese Hof van Justitie, dat vond dat de bescherming van gegevens in de VS onvoldoende was. Het Europese Hof vernietigde ook al de voorganger van Privacy Shield: Safe Harbour. Hoe groot is de kans dat deze derde poging wel gaat slagen? 

Veel bedrijven in de EU en in de VS hebben sinds de uitspraak in 2020 veel moeite moeten doen om zich aan te passen aan de nieuwe situatie. Nog steeds is het in veel gevallen onduidelijk of het nu wel of niet rechtmatig is om gegevens door te geven. De VS beloven nu significante verbeteringen in het beschermen van de rechten van Europese burgers, maar het is moeilijk voor de VS om die beloften na te komen, zonder grote steun in het Congres en zonder drastische hervormingen in de manier waarop inlichtingendiensten in de VS ruimte krijgen om onze gegevens te analyseren. 

Wat is er nodig voor een rechtmatige doorgifte? 

Kort gezegd beschermt de AVG de verwerking van persoonsgegevens door partijen die in de EU zijn gevestigd (hallo Facebook Ierland), ongeacht waar die verwerking plaatsvindt. Partijen buiten de EU moeten zich ook houden aan de AVG als zij zich richten op het leveren van goederen of diensten aan mensen in de EU (hallo Facebook!), of als zij grootschalige monitoring uitvoeren van het gedrag van mensen in de EU (hallo Facebook!). Zodra je persoonsgegevens verwerkt buiten de EU, is er sprake van een internationale doorgifte. 

De AVG is ook van toepassing op drie landen buiten de EU: Noorwegen, Liechtenstein en IJsland. Daarom is er geen sprake van een internationale doorgifte, als gegevens in een van die landen worden verwerkt. Vanuit het perspectief van de AVG is dat de EU. 

Dan is er een lijstje landen dat door de Europese Commissie als voldoende veilig wordt beschouwd. adequate, heet dat. De Europese Commissie geeft dan een adequaatheidsbesluit af aan dit land. Ook Groot-Brittannië is tegenwoordig adequate. Doorgifte van persoonsgegevens geldt wel als een internationale doorgifte, maar de AVG legt er geen verdere beperkingen aan op. Voor sommige landen gelden wel specifieke beperkingen. In Canada vallen commerciële bedrijven wel onder het adequaatheidsbesluit, maar de overheid niet. Privacy Shield maakte het mogelijk voor bedrijven in de VS om het label ‘adequate’ te krijgen, als ze een formele belofte (self-certification) deden om zich aan hogere, op de AVG gebaseerde beschermingsstandaarden te houden. Maar de wettelijke realiteit in de VS, met uitgebreide bevoegdheden voor de inlichtingendiensten en gebrekkige mogelijkheden voor Europeanen om hun rechten uit te oefenen, maakte het volgens het Europese Hof van Justitie onmogelijk om die hogere bescherming ook echt te bieden. Vandaar dat Privacy Shield ongeldig werd verklaard. 

Er zijn oplossingen in de AVG, maar die zijn stellen meer eisen aan de verantwoording. De meest gebruikte zijn de Standaardcontractvoorwaarden (Standard Contractual Clauses, SCC's. Zie ook “Standard Contractual Clauses worden flexibeler en veeleisender”) die de Europese Commissie heeft opgesteld. Als een partij in de EU deze afsluit met een partij in de VS, en bovendien zorgt dat de Amerikaanse partij deze ook echt naleeft, kan een doorgifte rechtmatig plaatsvinden. 

De VS moeten ingrijpende maatregelen nemen 

De aankondiging van het zogenoemde Trans-Atlantic Data Privacy Framework verandert voorlopig niets. Het is niet meer dan een aankondiging van verandering. En er is nog een lange weg te gaan, blijkt uit een analyse van de bekende privacyspecialisten Ian Brown en Douwe Korff. Zij beschrijven de vier maatregelen die de VS moeten nemen, voordat een nieuw adequaatheidsbesluit kan worden genomen: 

  • Er moet een algemene gegevensbeschermingswet komen, waarin bedrijven in de VS de mogelijkheid krijgen om de bescherming van persoonsgegevens naar EU-normen in te richten. 
  • Het Amerikaanse surveillanceapparaat moet sterk aan banden worden gelegd, zodat alleen onderzoek dat is gericht op de nationale veiligheid nog mogelijk is, gegevens alleen mogen worden verwerkt als dat noodzakelijk en proportioneel is en er een concrete aanleiding voor bestaat. 
  • De VS moet het onmogelijk maken om de eigen regels te omzeilen of verzachten door middel van geheime wetgeving. 
  • Europese burgers moeten de mogelijkheid krijgen om hun rechten effectief uit te oefenen in de VS bij een volledig onafhankelijk autoriteit die de mogelijkheid heeft effectieve sancties op te leggen. 

De Amerikaanse regering en de Europese Commissie lijken zich ervan bewust dat er een lange weg is te gaan. Ze willen vooral optimisme uitstralen, maar het boodschappenlijstje is erg lang. Er is misschien ruimte voor een nieuwe algemene wet voor gegevensbescherming in de VS – er zijn al verschillende wetsvoorstellen ingediend en verschillende staten hebben op eigen initiatief al wetten aangenomen. Maar zo’n algemene wet voor gegevensbescherming op federaal niveau ook mogelijk niet gelden voor niet-Amerikanen. Het fundamenteel hervormen van het surveillanceapparaat lijkt volstrekt onhaalbaar in het bestaande politieke klimaat, ook al spreekt het principeakkoord over het beperken ervan tot wat noodzakelijk en proportioneel is. Te veel uitzonderingen en verschillen van definities tussen Europa en Amerika blijven bestaan. 

Weinig vertrouwen in duurzaamheid nieuw akkoord 

Voorlopig is er geen nieuw adequaatheidsbesluit en moeten we het doen met de SCC’s als we gebruik willen maken van de diensten van in de VS gevestigde partijen (of een van de andere mechanismen, die nog minder makkelijk zijn in het gebruik). De kans dat er een nieuw akkoord wordt gesloten lijkt me relatief groot. De Europese Commissie heeft al eerder laten zien graag genoegen te willen nemen met een paar te lichte aanpassingen in de VS, als de gegevens maar weer kunnen stromen. 

Dat is een matige basis voor vertrouwen in de duurzaamheid van zo’n nieuw akkoord. Max Schrems, de privacyactivist die eerder al zorgde voor het verwerpen van Safe Harbour en Privacy Shield, heeft al aangekondigd mogelijkheden te zien om de rechtsgang dit keer flink te versnellen. Mocht de Europese Commissie toch in de verleiding komen om een onvoldoende krachtige Privacy Shield II in het leven te roepen, zal deze mogelijk al binnen een paar maanden door het Hof worden vernietigd, in plaats van na een jaar of vier. 

Het vooruitzicht van een akkoord dat na een paar maanden alweer in de touwen hangt, is weinig aantrekkelijk voor organisaties in de EU die rechtmatig gegevens in de VS willen verwerken. Zij doen er dan ook goed aan om de kat uit de boom te kijken en maatregelen te nemen om gegevensdoorgiften naar de VS zoveel mogelijk te beperken, of te voorzien van aanvullende beschermingsmaatregelen. Jezelf voor je bedrijfsvoering afhankelijk maken van een wankel akkoord, valt niet aan te raden. 

Download