Bescherming privacy van Europese burgers in de VS: wankel of niet?

Het nieuwe dataverdrag tussen de Europese Unie en de Verenigde Staten, het ‘EU-U.S. Privacy Shield’, is sinds 12 juli 2016 een feit. Het doel van dit nieuwe verdrag is de doorgifte van persoonsgegevens van Europese burgers naar de Verenigde Staten (weer) eenvoudiger te maken – maar wordt dat doel in de praktijk ook bereikt?

Doorgifte persoonsgegevens naar de Verenigde Staten

Het is niet zomaar toegestaan om persoonsgegevens van Europese burgers vanuit de Europese Unie door te voeren naar de Verenigde Staten. Dit met oog op bescherming van privacy van de Europese burgers. Volgens Europese regelgeving mogen persoonsgegevens alleen worden doorgegeven naar landen die daarvoor een passend beschermingsniveau kunnen waarborgen. Een passend beschermingsniveau betekent dat persoonsgegevens in dat land veilig zijn, zodat de privacy van Europese burgers wordt gewaarborgd.

Echter, de Verenigde Staten kan naar Europese maatstaven géén passend beschermingsniveau waarborgen. Sterker nog, de overheid van de Verenigde Staten mag bijvoorbeeld alle informatie van Europese burgers die daar wordt opgeslagen verzamelen, inzien en ook zelf opslaan. 

Doorvoeren van persoonsgegevens naar de Verenigde Staten mag dus alleen indien u daarvoor beschikt over een juridische basis. Een voorbeeld van een juridische basis is dat u van iedere betrokkene expliciet toestemming heeft gekregen om diens persoonsgegevens te mogen doorvoeren naar de Verenigde Staten. Een ander voorbeeld is dat de Europese Unie met een land, zoals de Verenigde Staten, specifieke afspraken heeft vastgelegd in een verdrag – zoals het EU-U.S. Privacy Shield – om de persoonsgegevens te mogen doorvoeren. 

Safe Harbour

Vroeger mocht u – kort gezegd – op basis van het Safe Harbour-verdrag persoonsgegevens van Europese burgers doorvoeren naar de Verenigde Staten. Het Europees Hof van Justitie heeft echter een stokje gestoken voor deze gang van zaken. Volgens het Hof van Justitie bood het Safe Harbour-verdrag onvoldoende bescherming voor de privacy van Europese burgers en is daarom op 6 oktober 2015 ongeldig verklaard. 

Hierdoor mocht u ineens geen beroep meer doen op het Safe Harbour-verdrag om persoonsgegevens van Europese burgers te mogen doorvoeren naar de Verenigde Staten. U moest hiervoor plotseling een beroep doen op een andere juridische basis en bijvoorbeeld de betrokkene expliciet om toestemming te vragen. Ook het gebruik van door de Europese Commissie voorgeschreven modelcontractbepalingen bood (en biedt) in sommige gevallen een uitkomst, maar vergt heronderhandeling met de wederpartij indien in eerste instantie niet met gebruikmaking van die modelcontractbepalingen werd gecontracteerd. Na de ongeldigverklaring van het Safe Harbour-verdrag werd het dus moeilijker om persoonsgegevens naar de Verenigde Staten door te mogen voeren.

EU-U.S. Privacy Shield

Met de komst van het nieuwe dataverdrag ‘EU-U.S. Privacy Shield’ op 12 juli 2016 kon u weer een beroep doen op deze juridische basis om persoonsgegevens van Europese burgers door te voeren naar de Verenigde Staten.

Volgens de Europese Commissie biedt het EU-U.S. Privacy Shield – anders dan het Safe Harbour-verdrag – een hoog beschermingsniveau voor de privacy van Europese burgers. Het EU-U.S. Privacy Shield is namelijk gebaseerd op, onder andere, de volgende beginselen:

  • Strengere eisen voor de doorgifte van persoonsgegevens naar de Verenigde Staten. Bedrijven in de Verenigde Staten kunnen zich laten certificeren, waarna zij op een lijst worden geplaatst van bedrijven die voldoende bescherming bieden voor de privacy van Europese burgers. De persoonsgegevens kunnen naar die bedrijven worden doorgevoerd;
  • Duidelijke waarborgen en transparantieverplichtingen voor de overheid van de Verenigde Staten voor de toegang tot persoonsgegevens. Massasurveillance is in beginsel uitgesloten; dit betekent dat bulksgewijs verzamelen van persoonsgegevens slechts onder specifieke voorwaarden is toegestaan;
  • Doeltreffende rechtsbescherming voor Europese burgers die menen dat hun recht op privacy wordt geschonden. Te denken valt aan een ombudsman in de Verenigde Staten waar een klacht kan worden ingediend. Ook kan bijvoorbeeld naar een privacywaakhond – zoals de Nederlandse Autoriteit Persoonsgegevens – worden gestapt, die in samenwerking met de autoriteiten in de Verenigde Staten de klacht zal onderzoeken en mogelijk zal oplossen.

Zorgen over EU-U.S. Privacy Shield

De Europese privacywaakhonden hebben echter nog steeds zorgen over het EU-U.S. Privacy Shield. Zij vragen zich in een brief van 26 juli 2016 af of de ombudsman in de Verenigde Staten zijn werk objectief zal uitvoeren. Ook is er nog steeds geen garantie dat de overheid van de Verenigde Staten geen massasurveillance zal uitvoeren. De Europese privacywaakhonden zullen tijdens de eerstejaarsevaluatie (gepland voor juni 2017) gezamenlijk bekijken of deze knelpunten in de praktijk zijn weggenomen.

De vraag of het EU-U.S. Privacy Shield voldoende bescherming biedt voor de privacy van Europese burgers, kan pas met zekerheid worden beantwoord wanneer hierover bij het Europees Hof van Justitie een rechtszaak wordt aangespannen. Het Hof van Justitie heeft immers het laatste woord of het EU-U.S. Privacy Shield voldoende bescherming biedt voor de privacy van Europese burgers.

Hoge verwachtingen Europese Commissie

De verwachtingen van de Europese Commissie zijn echter hoog. De Europese Commissie gaf op 10 januari 2017 aan dat het EU-U.S. Privacy Shield mogelijk een relevant model kan zijn voor andere derde landen die ook géén passend beschermingsniveau kunnen waarborgen. De Europese Commissie zou met dit model wellicht afspraken willen maken over de bescherming van privacy met de betreffende landen om doorgifte van persoonsgegevens naar die landen toch mogelijk te maken.

Conclusie

Kortom, met de komst van het EU-U.S. Privacy Shield is het weer makkelijker geworden om persoonsgegevens door te mogen voeren naar de Verenigde Staten. Of het EU-U.S. Privacy Shield daarentegen stand zal blijven houden is een vraag waarop wellicht in de toekomst een antwoord zal volgen. De Europese commissie is positief gestemd, maar het is afwachten of het EU-U.S. Privacy Shield de toets der kritiek van de Europese privacywaakhonden bij de eerstejaarsevaluatie zal doorstaan. Wij houden u op de hoogte van ontwikkelingen over het EU-U.S. Privacy Shield.

Tijs Weustenraad & Lesley Broos