Het einde van Privacy Shield in zicht?

Het Europese hof van Justitie (HvJ-EU) gaat zich in juli buigen over een privacyzaak tegen Facebook. Schrems, die er eerder voor zorgde het HvJ-EU een streep door Safe Harbour zette, maakte vlak na de invoering van de AVG een zaak aanhangig bij de Ierse rechter. Hoewel Facebook heeft geprobeerd de zaak uit handen van het HvJ-EU te houden, heeft het Ierse gerechtshof vrijdag anders besloten. Het HvJ-EU moet nu gaan beslissen of de overdracht van persoonsgegevens door Facebook van Europese burgers naar de Verenigde Staten wel aan de strenge eisen van de AVG voldoet. Maar wat regelt Privacy Shield nu, en waarom staat de overeenkomst onder druk?

Privacy Shield
De AVG is nu ruim een jaar van toepassing in de meeste Europese landen. De AVG waarborgt dat overal in Europa een vergelijkbaar beschermingsniveau bestaat wat betreft de privacy van burgers. Persoonsgegevens van burgers mogen in principe niet zomaar naar een derde land worden verstuurd die niet eenzelfde mate van privacy-waarborgen kent. Omdat het voor de internationale handel vrijwel onmogelijk zou zijn om géén persoonsgegevens uit te wisselen, kent de AVG enkele ‘escapes’ om het alsnog mogelijk te maken voor een Europese organisatie om persoonsgegevens uit te wisselen met een niet AVG-land. Eén van die escapes is het sluiten van een overeenkomst met een derde land. In de overeenkomst belooft het land dezelfde mate van privacybescherming als de Europese standaard. Europa heeft met de VS een dergelijke overeenkomst gesloten. Dit zijn er eigenlijk twee. De eerste overeenkomst, Safe Harbour, werd namelijk ongeldig verklaard door het HvJ-EU. Over de tweede (huidige) overeenkomst (Privacy Shield), moet het HvJ-EU zich nu in juli over uitlaten.

Kritiek
De eerste overeenkomst die werd gesloten met de VS was Safe Harbour. Het HvJ-EU oordeelde echter in 2014 dat deze niet voldeed aan de toenmalige privacyrichtlijn. Een overeenkomst als Safe Harbour wordt gesloten tussen de Europese Commissie en het derde land. Dergelijke overeenkomsten gelden als een Commissie besluit, en alleen de HvJ-EU kan een dergelijk besluit ongeldig verklaren. Het HvJ-EU maakte dan ook gebruik van deze bevoegdheid. In 2014 werd Safe Harbour ongeldig verklaart, omdat het niet voldeed aan de privacy-vereisten uit de toenmalige databeschermingsrichtlijn. De VS kon géén adequaat beveiligingsniveau waarborgen, omdat de Safe Harbour beginselen te veel leunden op de private partijen zélf. Safe Harbour gold alleen voor private partijen die persoonsgegevens verwerken van Europese burgers. Zij moesten via zelf-certificatie en zelfregulering voldoen aan de voorwaarden van Safe Harbour. Een dergelijk systeem is volgens de HvJ-EU echter alleen mogelijk met adequate controle mechanismen vanuit de nationale autoriteiten. En deze was er niet onder Safe Harbour. Sterker nog, Safe Harbour gold niet voor de Amerikaanse autoriteiten: zij konden zonder wederhoor (ex parte) gegevens opvragen bij Amerikaanse organisaties die dan onder de Amerikaanse wet verplicht waren hier aan te voldoen. Betrokkenen konden hierbij amper hun privacyrechten uitoefenen. Safe Harbour was volgens critici jarenlang een wassen neus.

Privacy Shield
Na de nietigverklaring werd er druk gewerkt aan een opvolger: Privacy Shield. Privacy Shield zou het grootste kritiekpunt van de Safe Harbour wegnemen: de Amerikaanse overheid had toegezegd dat de toegang van overheidsinstanties tot persoonsgegevens (met het oog op rechtshandhaving en de Amerikaanse nationale veiligheid) zal zijn onderworpen aan duidelijke beperkingen, waarborgen en toezichtsmechanismen.
Hiermee is niet alle kritiek weggenomen. Het systeem leunt nog steeds op zelf-certificatie en regulering. Daarnaast heeft de wisseling van presidenten in Amerika de bescherming van privacy geen goed gedaan. Trump tekende bijvoorbeeld in januari 2017 het decreet ‘Enhancing Public Safetey in the interior of the United States’. Dit decreet regelt dat Amerikaanse privacywetgeving niet van toepassing is op niet VS burgers. Hoewel dit op zichzelf de voorwaarden onder Privacy Shield niet buiten toepassing verklaart, is er een groeiende vraag onder privacy critici wat dit zegt over het privacy bewustzijn van de federale overheid. Zo zou toezicht op Privacy Shield minimaal zijn en zou het nog steeds onduidelijk zijn welke gegevens de federale overheid allemaal verzamelt.

Volgens velen moet Privacy Shield daarom, net als Safe Harbour, van tafel worden geveegd omdat het alsnog niet een adequaat beschermingsniveau waarborgt. Veel van deze kritiek bestond al bij het opstellen van de Privacy Shield en staat nog steeds fier overheid. Met de komst van de strengere AVG is de discussie in alle hevigheid opgewaaid.

CLOUD Act
Het ingaan van de Amerikaanse CLOUD Act in 2018 heeft Privacy Shield ook geen goed gedaan. Onder deze Amerikaanse wet zijn Amerikaanse bedrijven verplicht gegevens af te staan aan inlichtingendiensten in geval van criminele verdenkingen. Ook als het Amerikaanse bedrijf zich feitelijk niet in Amerika bevindt. De AVG verbiedt een in Europa gevestigd Amerikaans bedrijf een dergelijke doorgifte wanneer er geen specifiek verdrag of overeenkomst bestaat. Een verzoek onder de Cloud Act kwalificeert namelijk niet als een verdrag of overeenkomst. En dat leidt tot gekke situaties: een Amerikaans bedrijf gevestigd in Europa kan op deze manier in een behoorlijk spagaat terecht komen. Enerzijds moet het voldoen aan het Amerikaanse verzoek om persoonsgegevens te verstrekken onder de CLOUD Act, maar anderzijds overtreedt het bedrijf de AVG wanneer het voldoet aan een dergelijk verzoek. Een ‘escape’ is mogelijk wanneer een Europees land een verdrag sluit met de VS en een zogeheten ‘qualifying Foreign Goverment’ wordt. Een dergelijk verdrag wordt echter gesloten onder Amerikaanse voorwaarden. Het is denkbaar dat het HvJ-EU ook vraagtekens zet bij de CLOUD Act in relatie tot Privacy Shield.

Gevolgen ongeldig verklaren van Privacy Shield
Wanneer ook Privacy Shield ongeldig wordt verklaart, dan heeft dit gevolgen voor Europese bedrijven. En de kans dat het HvJ-EU Privacy Shield van tafel veegt is zeker aanwezig. Europese organisaties mogen dan niet langer gegevens uitwisselen met Amerikaanse bedrijven op grond van Privacy Shield. Gegevens uitwisselen met Amerikaanse bedrijven gaat makkelijker dan je denkt: neem nu Microsoft of Google. Alleen het gebruik van diensten van deze giganten is in veel gevallen al het uitwisselen van persoonsgegevens. Europese organisaties die persoonsgegevens uitwisselen met Amerikaanse bedrijven zullen na de val van het Privacy Shield moeten uitwijken naar alternatieven zoals modelcontracten. Het is verstandig om daar als organisatie op voorbereid te zijn. Privacy Shield was in vele opzichten al het resultaat van concessies maken. Het is maar de vraag of de VS nóg meer concessies zal maken om aan de AVG te kunnen voldoen wanneer Privacy Shield ongeldig wordt verklaard.

Terug naar overzicht