Het is officieel. De EU heeft een nieuw akkoord met de Verenigde Staten met betrekking tot het uitwisselen van persoonsgegevens. Gisteren, op 12 juli, nam de Europese Commissie het zogenaamde “Privacy Shield” aan. Dit nieuwe akkoord treedt per direct in werking. Het Safe Harbor besluit is daarmee – ruim negen maanden nadat zij ongeldig werd verklaard – officieel vervangen. Maar is het een waardige vervanger, of is het een lege huls? Beschermt het schild ons tegen de Amerikaanse surveillance-praktijken?

Achtergrond

Het Privacy Shield vervangt de Safe Harbor-regeling, die het Hof van Justitie van de Europese Unie in oktober vorig jaar ongeldig verklaarde in de baanbrekende Schrems-zaak. Kort gezegd, oordeelt het HvJEU dat de VS geen “passend beschermingsniveau” bieden vanwege de handelwijze van de NSA. De eisen van de nationale veiligheid in de VS hebben namelijk altijd voorrang boven de Safe Harbors, en de Snowden-onthullingen hebben laten zien dat de Amerikaanse autoriteiten zich op grote schaal en ongedifferentieerd toegang kunnen verschaffen tot persoonsgegevens van Europese burgers.

Van een “passend beschermingsniveau” is volgens het HvJEU pas sprake als de VS een niveau van bescherming bieden van grondrechten dat in grote lijnen overeenstemt met de Europese normen.

Sinds het Schrems-arrest zijn de Europese Commissie en de Amerikaanse regering druk in de weer om een nieuwe politiek akkoord – het Privacy Shield – tot stand te brengen met betrekking tot de trans-Atlantische uitwisseling van persoonsgegevens.

Kritiek

De eerste versie van het Privacy Shield werd met veel kritiek ontvangen. In april 2016 oordeelt de Werkgroep 29 dat het voorstel onvoldoende waarborgen bevat ter bescherming van de persoonsgegevens van Europese burgers. Het beschermingsniveau kan (nog) niet gezien worden als “essentially equivalent to that of the EU” (zie ook onze eerdere blog).

De kritiek is met name gericht op de algemene, verstrekkende bevoegdheden van de Amerikaanse geheime diensten om (bulk)data te verzamelen. Het Privacy Shield sluit mass surveillance namelijk niet uit. De regels omtrent massaal toezicht zijn, aldus ook de Werkgroep 29, weliswaar een stuk transparanter geworden, maar massa surveillance is nog niet in zijn geheel verboden. Ook de onafhankelijkheid en effectiviteit van de Ombudsman, die klachten zal behandelen, wordt in twijfel getrokken. Niet alleen de werkgroep 29, maar ook de Europese Toezichthouder voor Gegevensbescherming (EDPS) en het Europees Parlement zijn kritisch.

Het definitieve Privacy Shield

Als we de Europese Commissie moeten geloven, komt de definitieve versie van het Privacy Shield tegemoet aan de eerdere kritiek. “We now have a robust framework ensuring [transatlantic data transfers] take place in the best and safest conditions“, aldus de Commissie.

Het schild bevat verplichtingen voor Amerikaanse bedrijven die gegevens van Europese burgers ontvangen. Zo moeten deelnemende bedrijven onder meer voldoen aan informatieplichten , mogen zij gegevens niet zomaar voor verdere doeleinden gebruiken en worden hun praktijken jaarlijks geëvalueerd. Onder het Privacy Shield krijgen Europese burgers bovendien de mogelijkheid om klachten in te dienen bij Amerikaanse bedrijven als zij menen dat hun rechten worden geschonden.

Met betrekking tot de bevoegdheden van de Amerikaanse autoriteiten, bepaalt het Privacy Shield nu dat “bulk collection will only be authorised exceptionally where targeted collection is not feasible, and will be accompanied by additional safeguards to minimise the amount of data collected and subsequent access (which will have to be targeted and only be allowed for specific purposes).”

De Amerikaanse overheid is gebonden aan zes “national security purposes” die kunnen rechtvaardigen dat bulkdata van Europese burgers wordt bewaard en gebruikt. Het schild voorziet bovendien in een Ombudsman die klachten over mogelijke massasurveillance kan onderzoeken.

Is het genoeg?

Dat is de vraag. De zes “national security” doeleinden die de NSA toegang kunnen verschaffen tot Europese gegevens zijn nog steeds zeer breed geformuleerd. “Counterterrorism” is er één van, bijvoorbeeld. Gelet daarop, is het maar de vraag in hoeverre de ruime bevoegdheden van de Amerikaanse autoriteiten daadwerkelijk worden beperkt door het Privacy Shield.

Maximilian Schrems, de initiatiefnemer in de eerder genoemde Schrems-zaak, is daarover duidelijk. Volgens hem is het Privacy Shield volstrekt ontoereikend en komt het beschermingsniveau in de VS niet in de buurt van de Europese normen, zoals het HvJEU wel vereist. Het enkele feit dat het in bulk verzamelen van data überhaupt mogelijk is, is in strijd met EU-recht. Het Privacy Shield is volgens Schrems dan ook niet meer dan een minimale upgrade ten opzichte van de Safe Harbor.

Schrems voorspelt dat het niet lang zal duren voordat de geldigheid van het Privacy Shield wordt aangevochten.

“Privacy Shield is the product of pressure by the US and the IT industry – not of rational or reasonable considerations. It is little more than an little upgrade to Safe Harbor, but not a new deal. It is very likely to fail again, as soon as it reaches the CJEU. This deal is bad for users, which will not enjoy proper privacy protections and bad for businesses, which have to deal with a legally unstable solution. The European Commission and the US government managed to make everyone miserable, when they could have used this opportunity to upgrade the protections that are crucial for consumer trust in online and cloud services.”

Of het Privacy Shield stand zal houden, moet dus nog blijken. To be continued.