Vergeet ik al die tijd helemaal wat te vinden van het Privacy Shield

Alweer uit juli: het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, is definitief aangenomen. Daarmee is er eindelijk weer een werkbare juridische basis voor doorgifte van persoonsgegevens aan de VS. Althans zou je denken. En ja sorry, dit is belangrijk maar het is me gewoon even ontschoten erover te bloggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. En dat heeft de VS dus, zo bepaalde de Europese Commissie in de Safe Harbor-beslissing eind jaren negentig. Amerikaanse bedrijven konden zichzelf certificeren als compliant met Europese regels, en daarmee was het geregeld. Ja moehaha ik weet het.

Dankzij de Snowden-onthullingen kon niemand er meer omheen dat deze fictie geen stand kon houden. Het Hof van Justitie prikte er dan ook in 2015 doorheen: de Amerikaanse haven is niet veilig, punt. Safe Harbor kende geen harde garanties zoals Europees recht vereist, met name omdat de Amerikaanse overheid te allen tijde door de beschermingsregels heen kon prikken.

Na die uitspraak was het enige tijd paniek in de tent: mag je nog wel persoonsgegevens in de Amerikaanse cloud opslaan, of een Amerikaans bedrijf dingen laten doen met Europese persoonsgegevens? Eigenlijk niet, tenzij je via speciale ellenlange modelcontracten specifieke afspraken mag én die kon handhaven, wat nogal een gedoe is.

Nu is er dan een nieuw akkoord dat iets strengere regels stelt. Zo komt er een onafhankelijk toezichtpanel op de zelfcertificering; bij klachten kan een certificaat dan worden ingetrokken. Verder moeten Amerikaanse bedrijven zich duidelijker committeren aan Europese regels en wordt een ombudsman aangesteld die klachten over mogelijke massasurveillance onafhankelijk kan behandelen. De politiek zal de afspraken jaarlijks evalueren.

Zijn we er nu? Niet echt. Voorlopig zitten we goed, want als de Europese Commissie zegt dat een land veilig is, dan is dat zo – althans totdat de onafhankelijke toezichthouders en uiteindelijk het Hof van Justitie zeggen van niet. Dus zorg voor een bewerkersovereenkomst (ADV: doe die training) en let op dat je leveranciers gecertificeerd zijn onder Privacy Shield.

Op de lange termijn zal dit geen stand houden. Uiteindelijk blijft bij Privacy Shield net als bij Safe Harbor het probleem dat inlichtingen- en veiligheidsdiensten te makkelijk in bulk mogen graaien in persoonsgegevens die Amerikaanse bedrijven onder zich hebben. Dan kun je honderd ombudsmannen aanstellen maar die diensten gaan dat echt niet minder doen. En afspreken dat de VS niet gaat graaien in gegevens bij hun eigen onderdanen, dat kun je wel vergeten als Europese Unie.

Dus ja, leuk dat het gat van Safe Harbor tijdelijk gerepareerd is, we kunnen weer even door. Maar meer dan een doekje voor het bloeden is het niet. Het fundamentele probleem blijft: je moet haast wel de cloud in vandaag de dag, maar dat betekent automatisch opslag in de VS en dat wil je eigenlijk gewoon niet.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Gerelateerde berichten:

• Heeft Donald Trump het Privacy Shield opgeblazen? (30/01/17 08:13)
• Waarom staat er nog steeds Privacy Shield in privacyverklaringen? (10/09/21 08:19)
• EC neemt nieuwe privacyregels aan voor datadoorgifte aan VS (12/07/23 08:14)
• Europees Hof torpedeert Safe Harbor (06/10/15 10:57)
• Coalitie van burgerrechtenorganisaties zegt: verbeter het EU US Privacy Shield (17/03/16 16:56)

Reacties:

Er zijn nog geen reacties op dit bericht.