Op 13 april jl. bracht Artikel 29 Werkgroep (WP29), de Europese privacy-toezichthouders, een advies uit over het nieuwe Privacy Shield. Het Privacy Shield vormt – zoals je ook kan lezen in onze blogs (hier, hier en hier) – het nieuwe “adeqaatheidsbesluit” voor gegevensuitwisseling tussen de EU en de US en vervangt de ongeldig verklaarde Safe Harbor.

WP29 is kritisch. Hoewel de toezichthouders in eerste instantie het nieuwe besluit verwelkomen, aangezien het “major improvements” biedt ten opzichte van de Safe Harbor, plaatsen zij ook een aantal kritische opmerkingen. Een viertal bezorgheden van WP29 worden hieronder uiteengezet, (1) massale en willekeurige gegevensverzameling nog steeds mogelijk, (2) ontbreken van belangrijke EU beginselen, (3) ineffectieve verhaalmogelijkheid, en (4) onduidelijke en inconsistente formulering.

Massaal en willekeurig toezicht

WP29 is bezorgd over de mogelijkheid om massaal en willekeurig EU gegevens te verzamelen. Het Privacy Shield sluit mass surveillance namelijk niet uit. De regels omtrent massaal toezicht zijn, zo erkent ook WP29, een stuk transparanter geworden maar mass surveillance is nog niet in zijn geheel verboden. Dit is gek want het Hof van Justitie van de EU (HvJ) heeft in de Schrems-zaak duidelijk bepaald dat “veralgemeend toezicht” van autoriteiten tot elektronische communicatie een wezenlijke inbreuk is op het grondrecht privacy, zie ook onze vorige blog.

In het advies wijst WP29 op “its long-standing position that massive and indiscriminate surveillance of individuals can never be considered as proportionate and strictly necessary in a democratic society, as is required under the protection offered by the applicable fundamental rights.” Echter zien de toezichthouders ook dat er een toenemende tendens is voor het massaal verzamelen van informatie met het oog op terrorisme bestrijding. Volgens WP29 zal het HvJ meer duidelijkheid moeten geven over de grenzen van massale en willekeurige gegevensverwerking. Daarnaast adviseert WP29 de Commissie om – op zijn minst – meer duidelijkheid te gegeven over de rechten en plichten uit hoofde van het Privacy Shield.

Ontbreken van belangrijke EU beginselen

Een ander kritiekpunt van de Europese toezichthouders is dat een aantal belangrijke beginselen uit het EU gegevensbeschermingsrecht ontbreken of op een ontoereikende manier worden uitgelegd in het Privacy Shield. Een voorbeeld is het beginsel van dataretentie. Volgens WP29 kan dit beginsel niet duidelijk gelezen worden in de beginselen van data integriteit en doelbeperking. Ook, zo oordeelt WP29, is het doelbeperkingsbeginsel voor het verwerken van persoonsgegevens onduidelijk uiteengezet. Volgens WP29 kunnen deze problemen worden opgelost door een begrippenlijst toe te voegen aan de Veel Gestelde Vragen (FAQ) over het Privacy Shield.

Ineffectieve verhaalmogelijkheid

Verder concludeert WP29 dat de aanvullende verhaalmogelijkheden voor individuen te complex en te ingewikkeld zijn opgesteld en daardoor niet effectief zijn. Geadviseerd wordt om deze procedures te verduidelijken. Ook maakt WP29 zich zorgen over de onafhankelijke rol van de Ombudsman en of deze wel voldoende adequate middelen ter beschikking heeft om zijn taak uit te oefenen.

Onduidelijke formulering

Als laatst merkt WP29 op dat het Privacy Shield lastig te doorgronden is doordat een deel van de informatie is opgenomen in het adequaatheidsbesluit en een ander deel in de bijbehorende bijlagen. Niet alleen is het Shield erg lastig te lezen, ook staan er door deze constructie inconsistente bepalingen in. WP29 heeft daarnaast kritiek op het onduidelijke taalgebruik.

Conclusie van het advies

Volgens WP29 biedt het Privacy Shield nog niet voldoende waarborgen en is het beschermingsniveau niet “essentially equivalent to that of the EU”. WP29 adviseert de Commissie om met passende oplossingen te komen die duidelijkheid verschaffen en een gelijkwaardig beschermingsniveau verzekeren. Het huidige Privacy Shield kan dus niet zonder meer in werking treden, zo oordeelt WP29.

En nu verder?

De Commissie wordt aan het werk gezet. Artikel 31 Comité, een comité bestaande uit vertegenwoordigers van de lidstaten, brengt binnenkort ook een advies uit (naar verwachting in mei). De Commissie heeft aangegeven de adviezen te verwerken in een aangepaste versie van het Privacy Shield en hoopt deze in juni te finaliseren. Het nieuwe Privacy Shield treedt dan direct in werking.

Wij zijn benieuwd hoe de Commissie de kritiekpunten van WP29 in het nieuwe Privacy Shield gaat verwerken en kijken uit naar het advies van Artikel 31 Comité.