Het is alweer bijna een jaar geleden dat het Europees Hof van Justitie uitspraak deed in de zaak Schrems. Hierdoor sneuvelde het verdrag tussen de Verenigde Staten en de Europese Commissie waardoor rechtsgeldig persoonsgegevens van Europeanen in de VS konden worden opgeslagen (Safe Harbor). De uitspraak stelde Amerikaanse aanbieders van public clouddiensten (Microsoft, Facebook, Amazon en Apple) voor een acuut probleem. Zie hierover mijn blog van oktober vorig jaar.
Het alternatief: Privacy Shield
Inmiddels is op 12 juli jongstleden het alternatief voor dit verdrag van kracht geworden, het zogenaamde Privacy Shield (zie hier het factsheet van de EC). Hierdoor worden de VS geacht weer een ‘passend beschermingsniveau’ voor bescherming van persoonsgegevens te bieden.
Wat zijn de verbeterpunten?
- De VS beloven minder vaak op grote schaal Europeanen in de gaten te houden;
- Het Department of Commerce gaat er op toezien dat bedrijven zich aan de regels houden;
- Er komt een speciale ombudsman bij het Amerikaanse ministerie van Binnenlandse Zaken waar Europese burgers naar toe kunnen met klachten.
Cloudproviders gerustgesteld?
Betekent dit dat Amerikaanse cloudproviders onze data weer rustig in de VS kunnen opslaan?
Zelf zijn ze uiteraard enthousiast over het Privacy Shield, dat door Microsoft in een reactie een “new high standard for the protection of Europeans’ personal data” wordt genoemd.
Kritiek op Privacy Shield
De vraag is of het Privacy Shield, in tegenstelling tot het Safe Harbor verdrag, wel aan de wet voldoet.
De zogenaamde ‘Artikel 29 Werkgroep’ (het orgaan waarin de Europese privacy-toezichthouders zijn verenigd) heeft zich kritisch uitgelaten. Ze maakt zich onder meer zorgen over het feit dat het Privacy Shield geen concrete garanties biedt om massale gegevensverzameling door de Amerikaanse overheid te voorkomen. Ook vindt zij het Privacy Shield onvoldoende duidelijk op het punt van de bevoegdheden en onafhankelijkheid van de ombudsman.
Laten deze punten (de ruime bevoegdheid tot gegevensverzameling door de Amerikaanse overheid en gebrek aan adequate handhaving) nu juist de punten zijn die leidden tot het oordeel van het Europees Hof van Justitie om het Safe Harbor Verdrag te verwerpen.
In mijn blog betwijfelde ik tevens de rechtsgeldigheid van het juridische alternatief voor Safe Harbor/Privacy Shield, de door de Europese Commissie goedgekeurde modelcontracten. Dit alternatief ligt inmiddels ook onder vuur. De Ierse privacy-autoriteit wil deze modelcontracten eveneens door het Europees Hof van Justitie laten toetsen aan Europese regelgeving. In februari 2017 zal het Ierse High Court zich hierover uitlaten.
Het laatste woord
Volgens Max Schrems, die de zaak aanspande en die het einde van Safe Harbor inluidde, zal ook het Privacy Shield in de rechtszaal sneuvelen. Of hij dit zal initiëren weet hij nog niet.
Het laatste woord is aan de rechter.
Vragen over privacyrecht? Neem vrijblijvend contact op met Marjolijn Hoevenaars, advocaat ICT-recht (marjolijnhoevenaars@degierstam.nl).
Dit artikel verscheen eerder op onze website: www.degierstam.nl.