Is USA met Privacy Shield nu wel weer een veilige haven voor persoonsgegevens?

Door: Frank van Vonderen

Tot een jaar geleden bestond voor de uitwisseling van persoonsgegevens met de USA een juridische basis: Safe Harbor. Maar door een uitspraak van het Europese Hof was vorig jaar Safe Harbor niet meer een passende juridische basis. Kortom: persoonsgegevens mochten niet meer zomaar met bedrijven in de USA (Google, Microsoft, USA, …) worden uitgewisseld. Al snel werd gewerkt aan een vervangende basis: ‘Privacy Shield’. De Europese Commissie heeft intussen Privacy Shield aangenomen. Vanaf 1 augustus 2016 kunnen Amerikaanse bedrijven zich certificeren bij Privacy Shield. Het is daarmee voor de doorgifte van persoonsgegevens aan die gecertificeerde bedrijven niet langer nodig om bijvoorbeeld de EU Model Clauses overeen te komen.

Privacy Shield is de vervanger van de Safe Harbor Principles, die door het Hof van Justitie van de Europese Unie (“Hof”) op 6 oktober 2015 ongeldig zijn verklaard. Het oordeel van het Hof was gebaseerd op de bevinding dat het Safe Harbor regime onvoldoende was om een passend niveau van gegevensbescherming te garanderen dat gelijkwaardig is aan het niveau van gegevensbescherming onder Europese wetgeving.

In Privacy Shield is, aldus de Europese Commissie, tegemoet gekomen aan de door het Hof geconstateerde bezwaren door onder meer de volgende maatregelen op te nemen:

  • Strengere verplichtingen voor bedrijven bij de verwerking van de gegevens, waaronder bij de verdere doorgifte aan derde partijen. De U.S. Department of Commerce gaat extra toezien op de naleving van deze verplichtingen;
  • Beperkingen, maatregelen en transparantie verplichtingen voor de Amerikaanse overheid bij het opvragen van persoonsgegevens, met een Ombudspersoon die een beroepsmogelijkheid biedt;
  • Effectieve bescherming van individuele rechten door middel van verschillende toegankelijke en betaalbare geschilbeslechting mechanismen, onder andere via de nationale toezichthouder die daarbij samenwerkt met de Federal Trade Commission en via de Ombudspersoon;
  • Jaarlijkse evaluatie van Privacy Shield.

Welke bedrijven Privacy Shield gecertificeerd zijn is te zien op de Privacy Shield List (https://www.privacyshield.gov/list). Door op het bedrijf te klikken krijg je informatie over de scope van de certificering en is aanvullende informatie zichtbaar, zoals contactgegevens, de privacy policy en de geschilbeslechtingsmechanisme(n) die het bedrijf heeft geïmplementeerd.

Is hiermee een duurzame basis gelegd om weer gegevens met de US te kunnen gaan uitwisselen? Nog niet. om Het is de vraag of Privacy Shield ongeschonden door de eerste jaarlijkse evaluatie (begin 2017) heen zal komen. Gedurende de totstandkoming van Privacy Shield, alsmede na implementatie ervan, is veel kritiek geuit: de bescherming die Privacy Shield biedt zou niet ver genoeg gaan. Tegelijkertijd hebben de toezichthouders aangegeven dat zij zullen wachten met het handhaven op doorgiften op basis van Privacy Shield tot de eerste evaluatie.

Totdat er duidelijkheid is over de houdbaarheid van Privacy Shield is het zaak om in de gaten te houden hoe u de bestaande situatie onder controle houdt. Hoe kan dit er uit zien:

  1. Ik was net voornemens om persoonsgegevens met de Verenigde Staten te gaan uitwisselen, of een en ander naar de cloud te brengen.

Als u niet langer kunt wachten, biedt Privacy Shield de mogelijkheid om de gegevens in de Verenigde Staten onder te brengen. Ga dan na of uw leverancier zich heeft onderworpen aan Privacy Shield en is opgenomen. Zorg dan wel voor ontbindende voorwaarden en een terugtrekscenario, wanneer Privacy Shield toch geen stand houdt. Dit lijken mij praktisch gezien uitdagende randvoorwaarden.

Kunt u wel nog even wachten, wacht dan nog even af of u gegevens naar de cloud brengt.

Het overwegen van een alternatieve, Europees gebaseerde, aanbieder is natuurlijk ook altijd een optie, alhoewel de keuze voor een Britse leverancier met de Brexit ook nog niet als risico-vrije optie kan worden gezien.

Overigens blijft (net als bij het vervallen van Safe Harbor) de theoretische mogelijkheid bestaan dat u de ondubbelzinnige toestemming van de betrokkenen verkrijgt om de gegevens naar de Verenigde Staten over te brengen. Of dit wenselijk en haalbaar is, hangt van de situatie af. Bovendien moet u zorgen dat u de betrokkenen zodanig duidelijk informeertdat zij ook begrijpen waarvoor zij toestemming verlenen.

  1. Ik heb persoonsgegevens in de Verenigde Staten staan of al in de cloud ondergebracht.

Het ‘terughalen’ van gegevens is niet gemakkelijk, of soms zelfs onmogelijk. Voor menig organisatie betekent dit dat men terug zou moeten naar de (ICT) steentijd, los van het feit dat het scheiden van persoonsgerelateerde data en het concentreren ervan binnen Europa praktisch gezien vrijwel ondoenlijk is. Daarom is het verstandig om de uitkomsten van de juridische discussie over de houdbaarheid van Privacy Shield af te wachten. In de tussentijd is het wel zaak om te zorgen dat u zich een nauwkeurig beeld vormt van de kwaliteit van de gegevensbescherming. Wat kunt u doen:

  • Voer een risico-analyse uit en ga na wat de optie Privacy Shield voor u betekent.
  • Vraag uw Amerikaanse leverancier naar diens Privacy Shield certificering.
  • Controleer hoe u kunt nagaan dat uw Amerikaanse leverancier de juiste beveiligingsmaatregelen heeft getroffen.
  • Kijk of door (een tijdelijk) gebruik van gegevensencryptie de bescherming kan worden vergroot of
  • Ga na of de contractuele afspraken met de Amerikaanse wederpartij op orde zijn. Vraag of de clausules van de door de Autoriteit Persoonsgegevens (AP) gepropageerde mantelovereenkomsten kunnen worden toegevoegd.
  1. Kan ik ook niets doen, mijn gegevens in de US laten staan en afwachten hoe zich dit alles ontwikkelt?

Dit is niet verstandig. Als verantwoordelijke moet u weten wat de specifieke risico’s en randvoorwaarden zijn in de uitwisseling van gegevens met de Verenigde Staten. Het analyseren van de consequenties van Privacy Shield is hierbij een minimale, maar ook praktische invulling van de zorgplicht die u heeft. Wanneer de toezichthouder merkt dat u zich niet heeft verdiept in de consequenties van de wettelijke ontwikkelingen, kan deze u hierop aanspreken.

  1. Een deel van mijn organisatie bevindt zich in de Verenigde Staten en wij wisselen onderling persoonsgegevens uit.

De uitwisseling van persoonsgegevens binnen een organisatie die kantoren heeft binnen de EU en bijvoorbeeld in de Verenigde Staten is legitiem, wanneer hiertoe zogenaamde ‘Binding Corporate Rules’ (BCR) zijn opgesteld. In BCR legt een organisatie de waarborgen vast voor de bescherming van persoonsgegevens bij doorgifte naar landen zonder passend beschermingsniveau. De Europese privacytoezichthouders moeten deze BCR goedkeuren. Als uw organisatie beschikt over een goedgekeurde BCR, dan heeft Privacy Shield geen effecten voor u.

Voor de uitwisseling van persoonsgegevens binnen een organisatie geldt overigens dat met de Europese Privacy Verordening, die uiterlijk mei 2018 actief wordt, hier ook weer veranderingen gaan ontstaan. Maar dat is voer voor een volgende update.

 

Bij de beschrijving van de actuele situatie van Privacy Shield is gebruik gemaakt van de informatieve Weblogs van SOLV (www.solv.nl).