Privacy Shield

Op 16-7-2020 heeft het Europese Hof van Justitie bepaald dat de bescherming van persoonsgegevens in de Verenigde Staten naar Europese maatstaven ontoereikend is. Het doorgiftemechanisme Privacy Shield is daarmee ongeldig verklaard (de zaak Schrems II).

Normaal gesproken is een Europees modelcontract een optie voor doorgifte naar een derde land. Maar dat kan alleen als het vereiste Europese beschermingsniveau in acht wordt genomen in dat derde land. In het geval van de Verenigde Staten is dat beschermingsniveau nu juist niet gegarandeerd.
Hierdoor is ook de geldigheid van het gebruik van een standaard modelcontract voor doorgiften van persoonsgegevens van de Europese Unie naar de Verenigde Staten op losse schroeven komen te staan.
Inmiddels vinden er onderhandelingen plaats over een nieuw verdrag, het zogenoemde Trans-Atlantic Data Privacy Framework.

EU-US Privacy Shield

Op 12-7-2016 heeft de Europese Commissie de overeenkomst EU-US Privacy Shield voor het uitwisselen van persoonsgegevens aangenomen.
Deze overeenkomst is een vervanging van het Safe Harbor-verdrag dat op 6 oktober 2015 door het Europese Hof ongeldig werd verklaard. Vanaf 1 augustus 2016 is het Privacy Shield van kracht.

Aanvankelijk was de verwachting dat er een Safe Harbor 2.0 zou komen. Het EU-US Privacy Shield is echter anders van opzet.
Op 2-2-2016 hadden de Europese Unie en de Verenigde Staten hierover al (voorlopige) overeenstemming bereikt. De Europese privacytoezichthouders waren kritisch: de structuur zou ingewikkeld zijn, en de verschillende onderdelen inconsistent.

Privacy Shield De overeenkomst kan elk jaar worden bijgewerkt, indien nodig. De Amerikaanse overheid heeft o.a. toegezegd om geen grootschalige surveillance-operaties uit te voeren op data van Europeanen. En dataoverdrachten van bedrijven zullen niet worden gebruikt door de inlichtingendiensten.
Amerikaanse bedrijven zullen bovendien gecontroleerd (kunnen) worden op naleving van de regels. Ook komt er een Amerikaanse ombudsman waar Europeanen met privacyklachten terecht kunnen.

Privacy Shield lijst

Amerikaanse bedrijven moeten zich aanmelden voor het Privacy Shield programma. Dat kan sinds 1 augustus 2016. Zodra de bedrijven gecertificeerd zijn is het niet nodig bij doorgifte van persoonsgegevens een Europees modelcontract met hen af te sluiten.
Er is een Privacy Shield lijst met deelnemers. Dit lijkt op de oude Safe Harbor lijst, alleen is het niet louter zelfregulering en vinden er ook controles plaats. Er wordt vastgelegd hoe men Europese data behandelt en hoe het doorgeven ervan moet plaatsvinden. Doorgifte naar derde bedrijven is alleen onder strenge verplichtingen mogelijk. Bedrijven die non-compliant zijn worden van de lijst verwijderd.
En er komt een -Amerikaanse- ombudsman voor geschillen.

Meer informatie over doorgifte van persoonsgegevens

Certificering Privacy Shield

Voor het proces van zelfcertificering moet een bedrijf vijf punten in acht nemen:
  • Jurisdictie

    De organisatie moet onder de jurisdictie vallen van de Federal Trade Commission (FTC) of van de Department of Transportation (DOT).
  • Klachtenprocedure

    Organisaties moeten kiezen wat de klachtenprocedure wordt die Europeanen tegen hen kunnen voeren.
  • Contactpersoon

    Er moet een contactpersoon binnen de organisatie worden aangewezen voor vragen over privacy. De contactpersoon is het eerste aanspreekpunt binnen de organisatie bij een klacht. Er moet binnen 45 dagen een antwoord worden gegeven. In tweede instantie komt de onafhankelijke partij in beeld die de hierboven genoemde klachtenprocedure afhandelt.
  • Privacybeleid

    De privacyverklaring moet worden aangepast: er moet in ieder geval een verwijzing komen naar de website van het Privacy Shield
  • Verificatie mechanisme

    Publicatie van een mechanisme om te verifiëren dat de organisatie compliant is met de principes van het Privacy Shield.

Alternatieven voor Privacy Shield

Voor bedrijven die persoonsgegeven exporteren naar een land buiten de Europese Unie terwijl dat land een ontoereikend beschermingsniveau biedt voor persoonsgegevens, zijn er diverse mogelijkheden waaronder:
  • Europees Modelcontract bij contacten met derden

    De Europese Commissie heeft standaardcontracten gemaakt waarmee persoonsgegevens mogen worden doorgegeven. Deze Europese Modelcontracten moeten ongewijzigd(!) worden ondertekend door leveranciers.
  • Binding Corporate Rules bij 'intern' dataverkeer

    Bij grote ondernemingen met vestigingen of dochterondernemingen in landen met een ontoereikend beschermingsniveau kunnen 'interne beleidsregels' worden opgesteld. Deze zgn. Binding Corporate Rules (BCR of bindende bedrijfsvoorschriften) regelen de bescherming van persoonsgegevens. Het opzetten van Binding Corporate Rules is geen sinecure. Uiteindelijk moeten ze worden goedgekeurd door de toepasselijke nationale toezichthouder(s), in Nederland de Autoriteit Persoonsgegevens.
  • Ondubbelzinnige toestemming

    De betrokkenen geven ondubbelzinnige toestemming voor de doorgifte van hun persoonsgegevens. Bij grote aantallen betrokkenen is dit geen goede oplossing.

Vergeet de verwerkersovereenkomst niet

Verwerkersovereenkomst is altijd nodig Een verwerkersovereenkomst is áltijd vereist wanneer een verantwoordelijke (of verwerker) de verwerking van persoonsgegevens uitbesteedt aan een derde. Dit staat los van andere regelingen, zoals een Europees Modelcontract.
Voor meer informatie zie: verwerkersovereenkomst

Gerelateerde onderwerpen