Data-uitwisseling tussen de EU en de VS: mag het nog?

Wanneer is er duidelijkheid?

De verwachting is op dit moment dat er voor de zomer overeenstemming zal worden bereikt tussen de Europese Commissie (‘EC’) en het Artikel 31 Comité. Het Artikel 31 Comité bestaat uit vertegenwoordigers van alle EU Lidstaten en heeft als taak een opinie te geven of een niet EU land een passend niveau van bescherming biedt voor de verwerking van persoonsgegevens uit de EU. Dit oordeel is bindend. Op dit moment is het daarom afwachten wat het advies van het Artikel 31 Comité zal zijn ten aanzien van het concept EU-U.S. Privacy Shield. Afhankelijk van het advies van het Comité kan de EC het conceptbesluit schrappen, aanpassen of in beroep gaan.

Kritiek op het EU-U.S. Privacy Shield

De kritiek van de Artikel 29 Werkgroep (‘WG 29’), het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders, is niet mis. Woorden als “inconsistent”, “onduidelijk” en “moeilijk te vinden” passeren de revue. Meer in het algemeen is de WG 29 van mening dat een aantal kernbeginselen van gegevensbescherming uit de EU wetgeving niet voldoende zijn doorgevoerd in het concept EU-U.S. Privacy Shield. Ook stelt WG 29 dat de regels rond massaal en willekeurig toezicht wel transparanter zijn geworden, maar dat mass surveillance (iedereen volgen om de rotte appels eruit te kunnen halen), door bijvoorbeeld de NSA, nog steeds mogelijk is.

Ook het Europese Parlement heeft kritiek geuit op het conceptbesluit. Het Parlement betwijfelt bijvoorbeeld of de in het concept aangestelde Ombudsman, waar een consument een klacht zou kunnen indienen, wel voldoende onafhankelijk is. Daarnaast vindt het Parlement de door de V.S. gegeven garanties te vaag, en vraagt daarom om deze nader te specificeren. Bovendien bevestigt het Parlement dat er nog veel onduidelijkheid is in het concept waardoor de rechtszekerheid in gevaar is.

Eurocommissaris van Justitie Věra Jourová vindt niet dat Amerikaanse autoriteiten nu makkelijk toegang hebben tot de gegevens van Europese burgers. Jourová zegt dat er nu slechts een bepaald aantal concrete gevallen op papier staan wanneer de Amerikaanse overheid toegang heeft.

Huidige stand van zaken

De huidige stand van zaken is enigszins onzeker. In de praktijk komt het erop neer dat Europese persoonsgegevens nu alleen naar de V.S. mogen worden verzonden met toestemming van de consument, of indien een EU modelovereenkomst wordt gesloten. Indien de gegevens worden gedeeld binnen een concern, met vestigingen overzees, dan moeten er zogenaamde ‘binding corporate rules’ worden geïmplementeerd om te garanderen dat de uitwisseling van data naar de V.S. voldoet aan de Europese wetgeving.

Het vorige raamwerk, bekend als Safe Harbor, is namelijk begin oktober 2015 door het Europese Hof van Justitie in de zaak Schremns ongeldig verklaard. Safe Harbor bood onvoldoende waarborgen voor de bescherming van persoonsgegevens bij data uitwisseling tussen de V.S. en de EU, aldus het Hof. Nu de Safe Harbor ongeldig is en het Privacy Shield (nog) niet is aangenomen, is er een vacuüm, waarin we terugvallen op de geldende Europese Privacy Verordening. De Verordening schrijft voor dat persoonsgegevens alleen naar landen buiten de EU mogen worden gestuurd als daar een passend beveiligingsniveau kan worden gegarandeerd.