Europese en Amerikaanse bedrijven hopen dat de EU en VS op korte termijn een nieuw data-uitwisselingsverdrag opstellen. Dat is echter wishful thinking. Het gaat hoogstwaarschijnlijk nog maanden duren voordat een opvolger van het Privacy Shield er daadwerkelijk is.Dat zegt Wojciech Wiewiorowski, het hoofd van de European Data Protection Supervisor (EDPS), de Europese toezichthouder voor gegevensbescherming, tegenover persbureau Reuters.
De EU en VS vertrouwden jarenlang op het Safe Harbor akkoord om persoonsgegevens en andere data uit te wisselen tussen beide continenten. In 2015 oordeelde het Europees Hof van Justitie dat dit akkoord te weinig garanties bood voor privacybescherming van Europeanen. Daarop formuleerden Brussel en Washington in 2016 een nieuwe juridische basis om gegevensuitwisseling te kunnen laten plaatsvinden. Het resultaat van deze onderhandelingen was het Privacy Shield.
Afgelopen zomer zette het Europees Hof van Justitie ook hier een streep door. De rechtbank meende dat de VS niet hetzelfde beschermingsniveau biedt als hier in Europa. De maatregelen die de VS neemt om persoonsgegevens te beschermen, komen onvoldoende overeen met het evenredigheidsbeginsel dat de Algemene Verordening Gegevensbescherming (AVG) nastreeft. Dat is in strijd met de Europese privacywet. Daarnaast was het volgens de rechtbank voor Europeanen onmogelijk om invloed uit te oefenen op de wijze waarop persoonsgegevens worden verwerkt in de VS.
Zowel bij het Safe Harbor akkoord als het Privacy Shield was de Oostenrijkse privacyactivist Max Schrems degene die ons erop wees dat Amerikaanse inlichtingen- en veiligheidsdiensten toegang hadden tot de gegevens van Europeanen. Hij voert al sinds 2011 een juridische strijd tegen grote Amerikaanse techbedrijven als Facebook en Google die persoonsgegevens verzamelen en doorverkopen voor winst.
Sinds augustus praten de EU en VS over een nieuw en verbeterd Privacy Shield framework. In een gezamenlijke verklaring schreven Eurocommissaris voor Justitie Didier Reynders en de Amerikaanse minister voor Handel Wilbur Ross dat het van groot belang voor zowel burgers als de wereldeconomie is om grensoverschrijdende gegevensoverdrachten goed te beschermen. Ze zeiden destijds dat ze verwachtten dat de onderhandelingen over een nieuw gegevensuitwisselingsbeleid waarschijnlijk nog wel een tijdje gingen duren.
Dit werd afgelopen week bevestigd door Wojciech Wiewiorowski, het hoofd van de European Data Protection Supervisor (EDPS). “Ik verwacht geen nieuwe oplossing voor het Privacy Shield in het tijdsbestek van enkele weken, en waarschijnlijk zelfs niet maanden. Daarom moeten we er klaar voor zijn dat het systeem zonder een Privacy Shield-achtige oplossing een tijdje meegaat.”
Wiewiorowski denkt dat de regering van Joe Biden, die in januari het stokje overneemt van president Trump, mogelijk andere prioriteiten heeft. Om met een opvolger van het Privacy Shield te komen, moet de VS zijn wet- en regelgeving over nationale veiligheid wijzigen. Het lijkt de voorzitter van de EDPS sterk dat dit onderwerp hoog op de agenda staat van de aanstaande president.
Nu het Privacy Shield ongeldig is verklaard, moeten bedrijven werken met zogeheten Standard Contractual Clauses (SCC’s) en Binding Corporate Rules (BCR’s). Dit zijn modelcontracten die het data-uitwisselingsbeleid tussen twee of meer partijen verwoorden. Daarin staat onder meer welke data van Europese burgers worden verwerkt, hoe dat gebeurt en op welke wijze hun privacy daarbij wordt gewaarborgd. De European Data Protection Board (EDPB) riep eind juli bedrijven op om hier zo snel mogelijk werk van te maken.
Om te controleren of Europese en Amerikaanse organisaties dat ook daadwerkelijk doen, schreef de privacyvereniging van Max Schrems 33 internationaal opererende partijen aan als Apple, Airbnb, Netflix en WhatsApp. Een groot aantal bedrijven reageerde helemaal niet, maar de meeste verwezen simpelweg naar hun privacy- en algemene voorwaarden. Schrems concludeerde dat “de meeste organisaties geen flauw benul hebben hoe ze verder moeten gaan”.
De Data Protection Commission (DPC) zei in september dat Facebook geen persoonsgegevens mocht uitwisselen op basis van modelcontracten. De Ierse toezichthouder meende dat deze contracten niet dezelfde waarborgen bevatten als de Europese privacywetgeving. Facebook moest daarom minder gegevens verzamelen of nieuwe afspraken maken. Het sociale netwerk van Mark Zuckerberg vocht het besluit aan bij de High Court en werd in het gelijk gesteld. Het onderzoek is daarom voorlopig in de ijskast gezet.
