Op 18 oktober van dit jaar vindt de tweede jaarlijkse evaluatie van het EU-US Privacy Shield plaats. Net als vorig jaar zijn de kritische geluiden niet van de lucht. Een tijdelijke schorsing van het Privacy Shield leek zelfs niet uitgesloten, tot de bekendmaking van de benoeming van een Ombudsman op 28 september jl. In de aanloop naar de tweede evaluatie blikt Ovidius terug op de korte, tumultueuze geschiedenis van het Privacy Shield.
Het Privacy Shield, wat is dat ook alweer?
Het Privacy Shield is de afspraak tussen de EU en de VS over de doorgifte van persoonsgegevens. Dit is niet de eerste bilaterale afspraak hierover: tussen 26 juli 2000 en 6 oktober 2015 bood de Safe Harbour-beschikking van de Europese Commissie een juridische basis voor de uitwisseling van persoonsgegevens met Amerikaanse ondernemingen. Na een klacht van de -in privacykringen welbekende- Oostenrijkse activist, Max Schrems, verklaarde het Europees Hof van Justitie de Safe Harbor beslissing echter op 6 oktober 2015 ongeldig.
In de maanden die daarop volgden, onderhandelden de EU en de VS intensief over een nieuwe kaderovereenkomst. En met succes: op 29 februari 2016 werd de concepttekst voor het zogenaamde Privacy Shield gepubliceerd. Een stap vooruit volgens velen, maar er volgde direct ook kritiek. De Artikel 29 werkgroep (inmiddels omgedoopt tot European Data Protection Board, “WP29”), het orgaan met vertegenwoordigers van de autoriteiten persoonsgegevens uit iedere lidstaat, zag grote bezwaren. Ook de Europese Toezichthouder achtte het Privacy Shield geen lang leven beschoren. Toch besloot de Europese Commissie op 12 juli 2016 dat het Privacy Shield de bescherming van persoonsgegevens voldoende waarborgt (een zogenoemde ‘adequacy decision’). Een uitkomst voor de vele bedrijven die sinds het torpederen van Safe Harbor met de handen in het haar zaten. Net als Safe Harbor, werkt ook het Privacy Shield op basis van zelfcertificering: bedrijven dienen zichzelf bij het Privacy Shield aan te melden en aan te tonen dat zij aan de voorwaarden voldoen.
Lees meer over het Privacy Shield in ons nieuwsbericht van 16 november 2016.
Niet iedereen blij met Privacy Shield
Het Privacy Shield kwam echter al snel onder vuur te liggen. In september 2016 diende de privacy-organisatie ‘Digital Rights Ireland’ al een klacht in bij het Gerecht van de Europese Unie (het “Gerecht”), met het verzoek om de ‘adequacy decision’ ongeldig te verklaren. Het Gerecht verklaarde ‘Digital Rights Ireland’ op 22 november 2017 niet-ontvankelijk, omdat de organisatie geen belanghebbende zou zijn. Een vergelijkbare zaak die door een Franse organisatie voor het Gerecht is gebracht, is nog in behandeling.
Lees meer over de klacht in ons nieuwsbericht van 31 oktober 2016.
Ondanks dat de aangepaste tekst van de ‘adequacy decision’ enkele bezwaren had weggenomen, bleef ook de WP29 kritisch. Besloten werd om het Privacy Shield tijd te gunnen, en om de eerste jaarlijkse evaluatie van het Privacy Shield af te wachten.
De eerste evaluatie: we zijn er nog (lang) niet
De eerste evaluatie vond op 18 en 19 september 2017 plaats in Washington, D.C. De Europese Commissie concludeerde dat het certificeringsproces in beginsel goed werkt en dat alle noodzakelijke procedures zijn opgetuigd om het Privacy Shield te laten werken. Kortom: een positieve conclusie. De Europese Commissie deed ook een aantal aanbevelingen voor de toekomst. Zo moest er snel een permanente Ombudsman worden aangesteld en moest er meer worden gedaan om EU-burgers bewust te maken van hun rechten onder het Privacy Shield.
Lees meer over de conclusies van de Europese Commissie in ons nieuwsbericht van 19 oktober 2017.
De WP29, die al voor de evaluatie de messen had geslepen, was heel wat minder enthousiast. Op zichzelf was het Privacy Shield een verbetering ten opzichte van Safe Harbor. De WP29 signaleerde echter nog altijd grote problemen, die ofwel voor 25 mei 2018 (de inwerkintreding van de Algemene Verordening Gegevensbescherming) danwel uiterlijk bij de volgende evaluatie moesten zijn geadresseerd. De WP29 waarschuwde dat als dit niet zou gebeuren, zij mogelijk een procedure bij het Hof van Justitie van de Europese Unie zou starten.
Lees meer over de conclusies van de WP29 in ons nieuwsbericht van 6 december 2017.
De druk neemt toe
De gehoopte maatregelen zijn lange tijd uitgebleven. Bovendien is in 2018 de ‘Clarifying Lawful Overseas Use of Data Act’ (“CLOUD Act”) aangenomen. De CLOUD Act verplicht Amerikaanse providers om persoonsgegevens van burgers aan de Amerikaanse autoriteiten over te dragen wanneer ze hierom vragen. Dit geldt ook als die persoonsgegevens zich overzees bevinden. Een speciale commissie van het Europese Parlement nam op 12 juni 2018 een resolutie aan, waarin de Europese Commissie werd aangespoord om het Privacy Shield te schorsen als de Verenigde Staten er niet in zou slagen om (voldoende) aan hun verplichtingen te doen op 1 september 2018. Hoewel Eurocommissaris Vera Jourova op 4 juli 2018 nog had benadrukt dat een schorsing van het Privacy Shield op dat moment niet aan de orde was, werd de motie van de commissie op 5 juli 2018 door het Europese Parlement plenair aangenomen.
Uiteindelijk stuurde Vera Jourova op 26 juli 2018 een brief naar de Amerikaanse minister van Economische Zaken, Wilbur Ross, waarin ze hem waarschuwde dat de VS nog drie maanden hebben om aan de eisen van de EU te voldoen. De VS zouden onder meer een Ombudsman moeten benoemen. De deadline? De tweede jaarlijkse evaluatie.
Amerikaanse ambassadeur: VS voldoet aan AVG
De VS reageerden afgelopen week op de waarschuwing van de EU. De Amerikaanse ambassadeur gaf aan dat de VS aan alle eisen van de AVG zouden voldoen. Verder zouden zij hier niet op in willen gaan. De ambassadeur maakte ook bekend dat de VS een Ombudsman hebben benoemd.
Op 12 oktober 2018 werd daarnaast bekend dat de Amerikaanse Senaat drie nieuwe leden van het zogeheten Privacy and Civil Liberties Oversight Board had benoemd. Dit toezichthoudende orgaan speelt een belangrijke rol in het Privacy Shield, en de openstaande vacatures waren onder meer de WP29 een doorn in het oog. Het is aannemelijk dat de VS hiermee opnieuw een van de Europese bezwaren hebben willen wegnemen voor de volgende evaluatie.
Wat nu?
Op 18 oktober 2018 zal dus die tweede jaarlijkse evaluatie moeten plaatsvinden. Wilbur Ross reist hiervoor af naar Brussel, waar de Europese Commissie haar bevindingen zal presenteren. Wat er dan gebeurt, valt te bezien. Schorsing of volledige intrekking van het Privacy Shield zou desastreuze gevolgen kunnen hebben voor zowel de bedrijven die zich tot nu toe bij het Privacy Shield hebben aangesloten als de bedrijven die met hen zakendoen. Nu de VS zijn overgegaan tot benoeming van een Ombudsman en ook de vacatures bij het Privacy and Civil Liberties Oversight Board zijn opgevuld, lijken dergelijke drastische maatregelen uitgesloten. Of de Europese Commissie tot de conclusie komt dat de VS volledig aan de AVG voldoet, zal moeten blijken.