Op 18 en 19 september 2017 vond in Washington, DC de eerste gezamenlijke evaluatie van het Privacy Shield plaats. Nadat de Europese Commissie al op 18 oktober 2017 haar rapport publiceerde, heeft nu ook de Artikel 29 Werkgroep (“WP29”)* haar conclusies bekendgemaakt. De WP29, die vanaf het begin kritisch is geweest op het Privacy Shield en al vooraf aankondigde zich niet te zullen conformeren aan de conclusies van de Europese Commissie, neemt in haar opinie het Privacy Shield opnieuw stevig onder vuur.
Oordeel WP29: veel problemen (nog steeds) niet aangepakt
De WP29 concludeert dat het Privacy Shield als geheel een verbetering is ten opzichte van Safe Harbor. Ook vindt de WP29 het een positieve ontwikkeling dat de Amerikaanse overheid transparanter is over de inzet van surveillance.
Dat neemt niet weg dat de WP29 nog steeds (grote) problemen signaleert, waaronder:
- Gebrek aan informatie en richtlijnen. De Amerikaanse overheid moet, aldus de WP29, meer doen om organisaties én burgers te informeren over hun concrete rechten en plichten. Juist nu het een zelfcertificeringssysteem betreft, is het noodzakelijk dat voor alle partijen duidelijk is hoe de principes van het Privacy Shield moeten worden toegepast.
- Gebrek aan toezicht. De Amerikaanse overheid houdt onvoldoende toezicht op organisaties die zijn aangemeld bij het Privacy Shield. Hoewel het certificeringsproces wordt gemonitord, wordt daarna niet meer gecontroleerd of organisaties zich ook daadwerkelijk aan het Privacy Shield houden. Dit is des te problematischer nu het privacy-beleid van organisaties niet inhoudelijk wordt getoetst gedurende het certificeringsproces.
- Dataverzameling door de overheid. De WP29 roept de Amerikaanse overheid op om meer bewijs te leveren van hun claim dat geen sprake is van massale datavergaring op een algemene basis.
- Privacy and Civil Liberties Oversight Board. Net als de Europese Commissie dringt de WP29 aan op een snelle invulling van de openstaande vacatures bij dit orgaan.
- Ombudsman. De WP29 dringt opnieuw aan op de snelle benoeming van een permanente Ombudsman. Ook merkt de WP29 op dat de Amerikaanse overheid bepaalde informatie -bijvoorbeeld over de relatie tussen de Ombudsman en de inlichtingendiensten- als geprivilegieerd beschouwd, waardoor de WP29 niet kan evalueren of de Ombudsman voldoende macht heeft om zijn positie uit te oefenen. Ook acht de WP29 het problematisch dat de beslissingen van de Ombudsperson niet door de rechter kunnen worden getoetst.
Maatregelen nodig
Hoewel een aantal van bovengenoemde punten ook door de Europese Commissie zijn aangekaart, is de conclusie die de WP29 op basis van de gezamenlijke evaluatie trekt, veel minder positief. Het Privacy Shield biedt, aldus de WP29, een jaar na de invoering nog niet de noodzakelijke waarborgen om uitwisseling van data tussen Europa en Verenigde Staten te legitimeren.
De WP29 stelt dan ook dat de Europese Commissie en de Amerikaanse overheid snel in actie moeten komen om deze problemen aan te pakken. Voor de Ombudsperson en de benoeming van de overige leden van het Privacy and Civil Liberties Oversight Board, geeft de WP29 aan dat deze met prioriteit moeten worden opgepakt, en wel voor 25 mei 2018 (de dag waarop de Algemene Verordening Gegevensbescherming van kracht wordt in de hele Europese Unie). Voor de andere problemen geldt dat de WP29 verwacht dat deze uiterlijk bij de volgende gezamenlijke evaluatie zijn geadresseerd. Als dat niet gebeurt, zo waarschuwt de WP29, dan is de volgende stap een gang naar het Hof van Justitie van de Europese Unie. Het Hof zal dan worden gevraagd een oordeel te vellen over de validiteit van het Privacy Shield.
*De WP29 is een Europees samenwerkingsverband van vertegenwoordigers van alle autoriteiten persoonsgegevens in de lidstaten. De WP29 publiceert regelmatig richtsnoeren en opinies over databescherming.