Zelfcertificering voor Privacy Shield van start
Persoonsgegevens doorgeven vanuit Nederland naar het buitenland is alleen toegestaan indien het betreffende land een passend niveau van bescherming biedt. Landen binnen de EU worden, door implementatie van de Privacyrichtlijn, geacht een passend beschermingsniveau te bieden. Wanneer men voldoet aan de WBP is doorgifte aan deze landen toegestaan. Voor landen buiten de EU gelden echter bijzondere regels.
Doorgifte aan de VS
Doordat de VS geen algemene wettelijke regeling heeft met betrekking tot de bescherming van persoonsgegevens wordt de VS niet geacht een passend beschermingsniveau te bieden. Daarom is doorgifte naar de VS slechts toegestaan op basis van wettelijke uitzonderingen, een vergunning, door gebruik van EC-modelcontracten of Binding Corporate Rules (BCR’s) of sinds kort op grond van Privacy Shield.
Privacy Shield
Op 12 juli 2016 heeft de Europese Commissie het EU-U.S. Privacy Shield (“Privacy Shield”) aangenomen. Privacy Shield vervangt het door het Europees Hof van Justitie ongeldig verklaarde Safe Harbor-besluit. Het doel van Privacy Shield is om bij uitwisseling van persoonsgegevens met de VS een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het beschermingsniveau binnen de EU. Privacy Shield is net als Safe Harbor een zelf-certificeringssysteem waarbij ondernemingen zich committeren aan vastgestelde “Privacy Principles”. Vanaf 1 augustus 2016 kunnen aanvragen voor certificering worden ingediend bij de US Department of Commerce. De handleiding van de US Department of Commerce voor zelfcertificering, onderverdeeld in 5 stappen, vind je hier.
Organisaties in de VS die gecertificeerd zijn bij Privacy Shield, worden geacht een passend beschermingsniveau te hebben. Dat betekent dat organisaties vanuit Nederland persoonsgegevens mogen doorgeven naar deze organisaties in de VS voor de duur van de certificatie.
What is new?
De voornaamste wijzigingen die Privacy Shield met zich meebrengt t.o.v. Safe Harbor zijn (1) zwaardere verplichtingen voor de ondernemingen die gegevens verwerken en mogelijkheden tot handhaving; (2) duidelijk(er)e waarborgen en transparantieverplichtingen voor toegang tot persoonsgegevens door de Amerikaanse overheid, waarbij willekeurige controle op grote schaal is uitgesloten; (3) meer rechten voor natuurlijke personen en een mogelijkheid tot beroep bij een ombudsman; en (4) jaarlijkse evaluatie.
Kritiek
Zoals eerder gemeld op onze website is op de conceptversie van Privacy Shield vanuit verschillende hoeken kritiek geuit. Zo lieten de nationale privacytoezichthouders, verenigd in de artikel 29-werkgroep, zich op 13 april 2016 kritisch uit in een opinie. Ook na de hierop volgende wijzigingen heeft de werkgroep op 26 juli 2016 zorgen kenbaar gemaakt ten aanzien van een aantal punten. Deze zorgen zien met name op de onafhankelijkheid van de Amerikaanse ombudsman en de toegang van de Amerikaanse inlichtingendiensten tot de gegevens die vanuit de EU zijn doorgegeven. Hoewel de werkgroep het positief vindt dat de regels over mass surveillance zijn aangescherpt, vraagt de werkgroep zich af of dit voldoende is. Of Privacy Shield in de praktijk voldoende bescherming biedt zal dus moeten blijken. Wie weet zal het Europees Hof van Justitie zich hierover in de toekomst nog uitlaten.
Stephanie Reinders Folmer