Safe Harbor wordt Privacy Shield

Het vorig jaar verworden ‘Safe Harbor verdrag’ is een verdrag dat is ontwikkeld door de Amerikaanse overheid om Amerikaanse organisaties de mogelijkheid te bieden om zichzelf te certificeren. Zo kunnen ze aan Europese partijen aan geven dat ze voldoende maatregelen treffen ter bescherming van Europese persoonsgegevens.

Binnen Europa zijn er veel regels die toezien op onze privacy, deze regels zijn buiten Europa anders of ontbreken in zijn geheel. Online-diensten en internet kennen geen landsgrenzen. Wil je als aanbieder van online-diensten toch de persoonsgegevens van je gebruikers beschermen in overeenstemming Europese geldende wet en regelgeving, dan moeten er afspraken gemaakt worden. Een voorbeeld hiervan was dus het Safe Harbor verdrag. Echter, dit verdrag werd, mede dankzij de onthullingen van Snowden, niet langer aangemerkt als een veilige constructie om Europese persoonsgegevens te beschermen bij uitwisseling van data met Amerika.

Twee dagen na het verstrijken van de deadline, gesteld door de Europese toezichthouders, om met een alternatief te komen, zijn de EU en de VS dinsdag 2 februari met een opvolger gekomen: het EU-US Privacy Shield.

Geen verdrag
Het EU-US Privacy Shield is nog geen verdrag. Het is alleen nog maar een set van uitgangspunten die nog moeten worden uitgewerkt. Eigenlijk dus nog geen verandering van de bestaande situatie. Wat is er dan overeengekomen?  Voor nu is alleen overeengekomen dat het Privacy Shield:

• Sterke verplichtingen zal gaan bevatten voor Amerikaanse bedrijven die Europese persoonsgegevens verwerken;
• Garanties van de Amerikaanse overheid zal gaan bevatten over het datagraaien.
• Amerikaanse bedrijven deadlines op zal leggen om te reageren op klachten van Europese burgers en Europese privacy toezichthouders klachten in kunnen dienen bij verschillende Amerikaanse overheidsinstanties;
• Specifiek voor klachten over het datagraaien door de Amerikaanse overheid bepalingen over het aanstellen van een ombudspersoon zal bevatten.

Hoe deze garanties vertaald gaan worden naar het echte verdrag is nog niet duidelijk. Dat moet in de komende weken tot maanden blijken als het verdrag wordt opgesteld. Evenmin is duidelijk of bovenstaande garanties dan wel voldoende waarborgen bieden tegen de bezwaren die het Europese Hof eerder had tegen Safe Harbor.

Wat zouden online dienstaanbieders volgens Zeker-OnLine, een onafhankelijk keurmerk voor online administratieve diensten,  tot die tijd moeten doen:

• In zijn geheel geen gebruik maken van Amerikaanse bedrijven, dus alleen samenwerken met Europese toeleveranciers of de uitwisseling van data met Amerikaanse bedrijven tot een zeer noodzakelijk minimum beperken en
• indien er gegevens worden uitgewisseld, gebruik maken van een modelcontract
• of toestemming vragen aan de gebruikers of de data mag worden verwerkt door een Amerikaanse organisatie.

Een modelcontract is te vinden:

• Bij de juridische adviseur van Zeker-OnLine, ICTRecht. Op de website is een generator opgenomen voor het opstellen van een modelcontract.
• Op de website van Europese Commissie.

Wat verlangt Zeker-OnLine van haar Keurmerkhouders.
Zeker-OnLine verlangt van haar Keurmerkhouders dat ze de privacyrechten van haar gebruikers respecteren. Vorig jaar, bij het doorhalen van het Safe Harbor verdrag, hebben alle keurmerkhouders, een nieuwe inventarisatie gemaakt met betrekking tot de toeleveranciers. Indien deze toeleveranciers gegevens uitwisselde met een Amerikaanse organisatie, is een inventarisatie gemaakt wat de doorhaling van het verdrag voor de eigen organisatie betekende en hebben ze zo nodig meteen actie ondernomen.

Welke zekerheid kun je als gebruiker hieraan ontlenen?
De keurmerkhouders worden jaarlijks door een onafhankelijke IT-auditor van BDO, ControlSolutions of Mazars geaudit op het bestaan en werking van de getroffen maatregelen.

Dit bericht is door Zeker-OnLine opgesteld in samenwerking met ICTRecht.