Opvolger Safe Harbor: Privacy Shield

eu.jpg

De Europese Commissie heeft deze week haar goedkeuring gegeven aan Privacy Shield, de overeenkomst die gegevens afkomstig uit Europa in de VS moet beschermen. Amerikaanse bedrijven als Microsoft, Facebook en Twitter kunnen nu hun gegevens met een gerust hart naar de VS verhuizen, alwaar ze ook garanderen dat de gegevens naar Europese maatstaven worden beschermd. De nieuwe overeenkomst vervangt 'Safe Harbor', dat vorig jaar door het Europese gerechtshof als inadequaat was afgedaan. Safe Harbor stond ook toe dat gegevens vanuit Europa naar de VS werden overgeheveld, zolang het bedrijf maar de Europese privacyregels aanhield. Het probleem daarmee was dat bedrijven in de VS niet in staat waren om hun eigen NSA buiten de deur te houden. In de kern is de huidige overeenkomst hetzelfde; gegevens uit Europa moeten overeenkomstig de Europese regels worden behandeld, of ze zich nou in een datacenter in Amsterdam, Brussel of New York bevinden. En ook de bedrijven geven nog steeds dezelfde garantie, alleen het toezicht hierop is nu veranderd. Ten eerste moet het Amerikaanse ministerie van handel (Department of Commerce) er op toezien dat bedrijven aan de hogere eisen voldoen. Ten tweede kan ieder individu waarvan de gegevens uit de EU afkomstig zijn (dus niet alleen Europeanen) en die vindt dat zijn rechten zijn geschonden, een klacht indienen. Die klachten worden door de Amerikaanse overheid in behandeling genomen en 'snel' afgewikkeld 'zonder kosten voor het individu'. En ten derde zal de VS geen bulkcontroles uitvoeren op persoonlijke gegevens die naar de VS zijn overgeheveld. Het verzamelen van bulkinformatie door de VS 'vind uitsluitend plaats onder bepaalde voorwaarden en is zo precies en gericht als mogelijk'. Klachten die hun basis hebben bij 'nationale veiligheid' zullen worden bekeken door een geheel onafhankelijke ombudsman. Deze constructie is tot stand gekomen met behulp van de IT-industrie, die werd vertegenwoordigd door onder meer Apple, Dropbox, Google, Microsoft, Samsung en Sony, verenigd in 'DigitalEurope', een orgaan dat te spreken is over het resultaat. In een blog spreekt Microsoft zich positief uit over de overeenkomst. Anderen zijn kritischer, zoals de vertegenwoordiger van PrivacyInternational, die zijn vraagtekens zet. Ook privacyvoorvechter Max Schrems, laat zich kritisch uit over Privacy Shield.