Op 12 juli 2016 keurden de Europese Commissie en het Amerikaanse Department of Commerce het EU-US Privacy Shield goed. Dit Privacy Shield vervangt het Safe Harbour Framework dat het Hof van Justitie op 6 oktober 2015 had vernietigd (zie Eubelius Flash 6 oktober 2015). Dankzij het Privacy Shield wordt aan doorgiftes van persoonsgegevens naar de Verenigde Staten weer wat meer ademruimte gegeven, al gaan er ook nu al stemmen op die zeggen dat het Privacy Shield geen lang leven zal zijn beschoren.
Wat verandert er met het Privacy Shield?
Het Privacy Shield (voor de tekst: zie hier en hier) biedt bedrijven een extra mogelijkheid om gegevens naar de Verenigde Staten te zenden. Het staat naast bestaande instrumenten, zoals modelcontractbepalingen van de Europese Commissie (waarover de Ierse Privacycommissie trouwens heeft aangekondigd een zaak naar het Hof van Justitie te zullen verwijzen), ad hoc contracten of binding corporate rules.
Het Shield werkt, net zoals het vroegere Safe Harbour Framework, via zelfcertificering, maar het legt zwaardere voorwaarden op om voor die zelfcertificering in aanmerking te komen. De belangrijkste verschillen ten opzichte van het Safe Harbour Framework zijn:
- zwaardere verplichtingen voor gegevensimporteurs (bijvoorbeeld op het vlak van informatie in de privacy policy),
- strengere voorwaarden voor verdere doorgiftes van gegevens,
- beperkingen en garanties voor de toegang tot de gegevens door US-autoriteiten,
- regelmatige controles van gecertificeerde bedrijven om de naleving van het Shield te verzekeren en sancties in geval van niet-naleving, en
- de verplichting om te voorzien in een toegankelijke en betaalbare geschillenbeslechting voor datasubjecten.
Hoe kan een bedrijf de certificatie verkrijgen?
Het Amerikaanse Department of Commerce heeft een website gelanceerd waarop bedrijven zich kunnen aanmelden voor het Shield. Deze certificering moet elk jaar worden vernieuwd.
Sinds 1 augustus 2016 hebben een 40-tal bedrijven zich aangemeld.
Wat brengt de toekomst voor het Privacy Shield?
Op 26 juli 2016 heeft Working Party 29 een verklaring openbaar gemaakt waarin ze de verbeteringen van het Shield verwelkomt, maar tegelijk haar blijvende bedenkingen uit bij een aantal aspecten, zoals de toegang tot persoonsgegevens door overheden.
WP29 kondigde daarbij aan dat ze het Privacy Shield na één jaar zal herevalueren, zodat het Shield dus minstens een jaar de kans zou krijgen om zijn effectiviteit te bewijzen. Of dat zal lukken, is zeer de vraag. De privacycommissie van Hamburg heeft reeds aangekondigd dat ze stappen wil ondernemen tegen het Privacy Shield. Ook Max Schrems, die aan de basis lag van de vernietiging het Safe Harbour Framework, had weinig lovende woorden over voor het Shield. Hij omschreef het als “putting 10 layers of lipstick on a pig”.
Wordt dus ongetwijfeld vervolgd…
