Legal Look: Victor de Pous over privacyschild

> Wat houdt het Privacy Schield-verdrag in? Even een stap terug. Op 6 oktober 2015 haalde het Hof van Justitie van de Europese een streep door het Safe Harbour verdrag tussen de Europese Commissie en de Verenigde Staten uit 2000. Daar hadden ongeveer 4500 Amerikaanse bedrijven zich bij aangesloten; zowel multinationals alsook veel kleinere ondernemers. Het gaat nader bepaald om afspraken dat trans-Atlantische doorgifte van persoonsgegevens een rechtmatige basis geeft, ondanks het gemis aan adequate rechtsbescherming in de VS voor Europeanen.

Nader eerder al toezichthouders regelmatig hun zorgen uitspraken, achtte de rechter uiteindelijk het door Safe Harbour geboden beschermingsniveau van onvoldoende niveau, zo blijkt uit het geruchtmakende Facebook-arrest (Schrems v. Facebook). Enerzijds vindt er namelijk in de VS een grootschalige verzameling van persoonsgegevens van Europese burgers plaats, terwijl anderzijds de Europese burgers geen aanspraak op een effectieve dataprotectie kunnen maken. Daarnaast werd duidelijk dat een nationale privacytoezichthouder altijd individuele zaken in behandeling moet nemen ondanks dat er een verdrag van kracht is. Inmiddels ligt er een — voorlopige versie van een — nieuw verdrag, het zogenoemde US-EU privacyschild.

> Wat zijn de belangrijkste elementen? Besef goed dat een aanvullende regeling cruciaal is voor het trans-Atlantisch gegevensverkeer. Nader beschouwd was Safe Harbour en is Privacy Schield dan ook, in ieder geval mede, een handelsverdrag, bedoelt om het grensoverschrijdende zakendoen tussen de beide regio’s makkelijker te maken. Zonder een dergelijke internationale regeling kunnen Amazone Web Service, Facebook, Google, Microsoft en bijvoorbeeld Facebook het Europese deel van hun cloudiensten wel sluiten, tenzij de gegevensverwerking uitsluitend in binnen de grenzen van de Europese Unie plaatsvindt. Zoals bekend, heeft Microsoft in dit kader deels stappen gezet door een samenwerking met T-Systems aan te gaan. Deze datacenters staan in Duitsland en naar verluidt kan de bijvoorbeeld de Amerikaanse overheid alleen toegang tot deze ‘cloudgegevens’ verkrijgen, waarneer zij de formele weg van onder meer een rechtshulpverzoek bewandelt.

De belangrijkste elementen uit de nieuwe regeling hebben betrekking op (i) zwaardere verplichtingen voor ondernemingen die persoonsgegevens van Europeanen verwerken en een krachtige handhaving, (ii) duidelijke waarborgen en transparantieverplichtingen inzake de toegang van de Amerikaanse overheid tot de gegevens, en, last but not least, (iii) effectieve bescherming van de rechten van EU-burgers met diverse beroepsmogelijkheden.

> Is er ook kritiek? Voorzitter Kohnstamm van de Nederlandse Autoriteit Persoonsgegevens spreekt nadrukkelijk van ‘ernstige bedenkingen’. Meer concreet vinden de verzamelde Europese privacytoezichthouders (de inmiddels bekende Artikel 29-werkgroep) dat Privacy Shield de Amerikanen nog steeds de mogelijk biedt voor het in bulk verzamelen van persoonsgegevens van Europese burgers. Dat wordt onacceptabel geacht. De zes uitzonderingen op een verbod hiertoe – onder meer betrekking hebbend op terrorismebestrijding, cybersecurity en internationale criminaliteitsbestrijding – zijn namelijk te vaag geformuleerd. De toezichthouders herhalen hun standpunt dat grootschalige ongerichte surveillance van individuen nooit als proportioneel noch strikt noodzakelijk kan worden aangemerkt in een democratische samenleving.

Andere kritiekpunten hebben betrekking op de onafhankelijkheid en effectiviteit van de voorgestelde ombudsman, die in geval van een dispuut kan oordelen. De Europese toezichthouders verwelkomen weliswaar het aanstellen van een ombudspersoon. Dit zou een verbetering kunnen zijn voor Europese burgers om hun rechten te kunnen halen tegenover de Amerikaanse inlichtingendiensten. Maar ze zijn bezorgd dat deze ombudsman niet voldoende onafhankelijk zal zijn en onvoldoende bevoegdheden heeft om zijn taak effectief te kunnen uitvoeren.

Last but not least, er bestaat in de conceptversie onduidelijkheid over de definities van een aantal belangrijke principes, zoals doelbinding en toegang tot gegevens. De toezichthouders raden aan dat de EU en de VS overeenstemming bereiken over de definities en dat deze worden opgenomen in een bijlage.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *