EU-US Privacy Shield: opnieuw de Amerikaanse boer op met onze gegevens

De Europese Commissie heeft een nieuw akkoord gesloten met de Verenigde Staten voor veilige dataoverdracht van Europese gegevens naar Amerikaans grondgebied. Het “Safe Harbor”-systeem heeft plaats geruimd voor het “EU-US Privacy Shield”. Het akkoord komt op een zucht van de deadline die de Europese Privacycommissarissen hebben gesteld. De Amerikaanse overheid beloofd alvast geen “indiscriminate mass surveillance” meer uit te voeren en de rechten van Europese betrokkenen afdoende te beschermen.

Post-Schrems

Met de Schrems-zaak deed het Hof van Justitie de privacywereld even op zijn grondvesten daveren, toen het “Safe Harbor”-akkoord onderuit gehaald werd. Dankzij Safe Harbor kon data versluisd worden naar de Verenigde Staten met voldoende veiligheidsgaranties voor de betrokkenen. Na Snowden wees het Hof erop dat Safe Harbor niet kon garanderen dat persoonsgegevens van EU-burgers op een even veilige wijze konden worden verwerkt in de Verenigde Staten, zoals dat het geval was in Europa.

Zonder de veiligheid van Safe Harbor dreigden heel wat gegevenstransfer in de illegaliteit te verzinken. Ondernemingen waren aangewezen op alternatieven, zoals de zogenaamde “Standard Contractual Clauses” en de “Binding Corporate Rules”. Toch rees ook hier de vraag of er bijvoorbeeld voldoende zekerheid kon geboden worden tegen NSA-activiteiten.

Een privacy-schild

In het aanschijn van het ontstane hiaat dreigden de verschillende Privacycommissarissen in Europa ermee om de wet na te leven als er geen nieuw akkoord zou worden bereikt vóór eind januari 2016. Vandaag is het dan zover en heeft de Europese Commissie via een perscommuniqué laten weten dat een nieuw framework geïnstalleerd wordt, onder de plastische naam “EU-US Privacy Shield”.

Het nieuwe systeem moet een betere bescherming bieden voor de betrokkene. De Amerikaanse Departement of Commerce en de Federal Trade Commission krijgen ook de taak om diepgaandere monitoring te voeren op Amerikaanse verwerkers.

No more NSA (?)

De Amerikaanse overheid legt zichzelf bovendien de verplichting op om inzage in Europese data strikt te beperken en geen algemeen inzagerecht meer toe te staan. Uiteraard kan de overheid – zoals in Europa – inzage vragen in bepaalde data, maar dan moet het steeds onder bepaalde strikte voorwaarden, binnen een vooraf uitgetekend kader en voor zover dit absoluut noodzakelijk is en op proportionele wijze gebeurt.

Belangrijk is dus dat de gehekelde “indiscriminate mass surveillance” wordt afgeschaft. Lees: geen NSA-activiteiten meer. Hoe kan het ook anders? Dit was net de belangrijkste aanleiding voor de aardverschuiving.

Bescherming van de betrokkene

Een laatste belangrijk principe is de brede en gemakkelijke toegang van betrokkenen tot klachtenmechanismen. Ondernemingen krijgen strikte timings opgelegd om de klachten van betrokkenen te beantwoorden. Europese Privacycommissarissen kunnen gemakkelijk klachten aankaarten bij de Amerikaanse instanties. En er worden gratis bemiddelings- en ombudsdiensten opgericht.

Volgend op de beslissing van het College van Commissarissen zal in de komende weken een draft van akkoord worden opgemaakt en zal de Amerikaanse overheid maatregelen nemen om de implementatie van het “Privacy Shield” te anticiperen.

Heeft u vragen bij privacy en Trans-Atlantische dataoverdracht? Neem gerust contact met ons op: andries@siriuslegal.be of 0498/345.271