Legally Blogged is een blog voor iedereen die wil weten wat zijn of haar rechten op het internet zijn en welke juridische ontwikkelingen er nu spelen. Op een begrijpelijke maar juridisch onderbouwde manier worden onderwerpen behandeld die voor internetgebruikers relevant zijn, bijvoorbeeld op het gebied van privacy, intellectueel eigendom, vrijheid van meningsuiting en informatietechnologie.

 

Van Safe Harbor naar Privacy Shield: persoonsgegevens als Europees exportproduct

Bij het gebruikmaken van online diensten vertrouwen we onze persoonsgegevens toe aan bedrijven die overal ter wereld gevestigd kunnen zijn. Door het grensoverschrijdende karakter van het internet komen onze gegevens dan al snel in buitenlandse handen terecht die niet gebonden zijn aan het Nederlandse of Europese privacyrecht. Om deze gegevens toch te kunnen beschermen sloot de EU in 2000 een overeenkomst met Amerikaanse bedrijven: Safe Harbour.

In 2012 kwam de Europese Commissie met het plan om de Europese regels op het gebied van gegevensbescherming te hervormen. In brede zin ziet de hervorming op meer controle over de eigen persoonsgegevens en minder kosten voor bedrijven. Het doel is om de privacy online beter te waarborgen en de digitale economie in Europa te stimuleren. De hervorming ziet niet alleen op dataverkeer binnen Europa, maar ook op overdracht van deze gegevens buiten de EU.

Onderwerp van de hervorming is de Richtlijn gegevensbescherming uit 1995. Deze richtlijn was een reactie op de toename van verwerking van persoonsgegevens en de eenvoud waarmee deze gegevens tussen landen kunnen worden uitgewisseld. Om de gegevens van Europese burgers te beschermen voorziet de richtlijn in regels die bepalen onder welke omstandigheden persoonsgegevens mogen worden verwerkt.

Omdat de Richtlijn gegevensbescherming alleen van toepassing is binnen Europa, moeten er maatregelen worden genomen om Europese persoonsgegevens ook in andere landen te kunnen beschermen. Om deze reden bepaalt de richtlijn dat persoonlijke gegevens alleen uitgewisseld mogen worden met landen buiten de Europese Unie indien een passend beschermingsniveau wordt geboden. Dit passende beschermingsniveau houdt in dat fundamentele rechten en vrijheden in het derde land op hetzelfde niveau beschermd worden als binnen de Europese Unie onder de Richtlijn gegevensbescherming. Wordt hier niet aan voldaan, dan is doorgifte verboden.

De Europese Commissie kan op grond van de richtlijn door middel van een beschikking constateren dat een land buiten de EU een passend beschermingsniveau biedt. Deze beschikking kan vervolgens wel door het Hof van Justitie van de Europese Unie ongeldig worden verklaard.

Al in 2000 had de Commissie de overdracht goedgekeurd van Europese gegevens naar Amerikaanse bedrijven die zich hadden verbonden aan de Safe Harbor Privacy Principles, ondanks het ontbreken van algemene privacywetgeving in de Verenigde Staten. De Commissie kwam in 2013 met een aantal tekortkomingen en een set van dertien adviezen, wat vanaf 2014 de basis vormde voor onderhandelingen met de VS over het vernieuwen en versterken van trans-Atlantische uitwisseling van gegevens.

En toen kwam Snowden

Ierland kent een Data Protection Commissioner die zich bezig houdt met de handhaving van privacyregels en het in behandeling nemen van klachten. In juni 2013 klopte de Oostenrijker Schrems met een klacht over Facebook aan bij de Commissioner. Europese Facebookgebruikers sluiten een overeenkomst met Facebook Ierland, een dochteronderneming van het Amerikaanse Facebook Inc. De persoonsgegevens van gebruikers van Facebook die in Europa wonen worden doorgegeven naar de servers van Facebook Inc. en worden hier verwerkt. Op deze manier komen Europese persoonsgegevens in Amerika terecht.

Schrems wilde deze doorgifte van persoonsgegevens naar Amerika verbieden. Zijn klacht hield in dat het geldende recht en de praktijk in Amerika geen waarborgen bieden voor de bescherming van persoonsgegevens tegen overheidssurveillance, en hij verwees daarbij naar de onthullingen van Edward Snowden. De Commissioner vond de klacht ongegrond omdat de Europese Commissie in een beschikking de manier waarop de VS met gegevens omgaan had goedgekeurd, en nam de klacht niet in behandeling. Schrems ging tegen deze beslissing in beroep bij de High Court.

De High Court schorste de zaak om een prejudiciële vraag aan het Hof van Justitie van de Europese Unie te stellen. Door middel van het stellen van een prejudiciële vraag kunnen nationale rechters onduidelijkheden omtrent de uitleg van Europese regelgeving aan de Europese rechter voorleggen. De vraag die door de High Court gesteld werd was of de Commissioner ondanks de bevindingen van de Europese Commissie de klacht in behandeling had moeten nemen.

Deze vraag werd door het Hof bevestigend beantwoord: de beschikking waarbij de Europese Commissie had geconstateerd dat de Verenigde Staten waarborgen voor een passend beschermingsniveau bieden, stond er niet aan in de weg dat de Commissioner overging tot een onderzoek. Maar het Hof kwam tot een nog veel belangrijker oordeel met betrekking tot de geldigheid van de beschikking.

Allereerst constateerde het Hof dat alleen bedrijven aan Safe Harbor gebonden zijn, en niet de Amerikaanse overheid. Bovendien verleent de beschikking voorrang aan de eisen van nationale veiligheid, het algemeen belang en de rechtshandhaving van de Verenigde Staten boven de bepalingen van Safe Harbor. Indien deze beginselen in het geding zijn, hoeven de Verengde Staten zich op geen enkele manier aan de Safe Harbor regels te houden.

Omdat persoonsgegevens onder Europees recht worden opgeslagen zonder onderscheid, beperking of uitzondering met betrekking tot de bescherming van deze gegevens, moet ditzelfde beschermingsniveau worden geboden in de VS. Inmenging door de Amerikaanse overheid wordt onder Safe Harbor echter niet uitgesloten, waardoor de veiligheid van Europese gegevens niet kan worden gegarandeerd. Bovendien wordt deze inmenging onvoldoende gereguleerd. Op grond hiervan is de beschikking onverenigbaar met de Richtlijn persoonsgegevens en dus ongeldig.

Een maand na de uitspraak kwam de Europese Commissie met een reactie waarin alternatieve middelen werden voorgelegd. Indien een land buiten de EU geen passend beschermingsniveau biedt, dan is doorgifte van gegevens alsnog mogelijk onder strenge voorwaarden. De Commissie geeft echter de voorkeur aan een vernieuwd raamwerk omdat dit een omvangrijkere oplossing biedt voor het beschermen van persoonsgegevens. De onderhandelingen met de VS gingen dus door.

Een nieuw hoofdstuk: EU-US Privacy Shield

Op 2 februari 2016 kwamen de Commissie en de VS een nieuw plan overeen: de EU-US Privacy Shield. Deze overeenkomst bindt niet alleen commerciële partijen, maar is ook van toepassing op de verwerking van persoonsgegevens door de Amerikaanse overheid.

Bedrijven worden beter gecontroleerd op naleving van de regels die gelden voor de verwerking van Europese persoonsgegevens. Er gelden strikte voorwaarden voor Amerikaanse bedrijven die persoonsgegevens vanuit Europa naar de VS willen importeren. Het Amerikaanse ministerie van Economische Zaken zal toezien op de naleving.

Voor het eerst is ook de Amerikaanse overheid gebonden aan de regels. Het Amerikaanse ministerie van Justitie en de Office of the Director of National Intelligence zijn verantwoordelijk voor het houden van toezicht op overheidsinstanties die toegang hebben tot deze persoonsgegevens. Ook kunnen Europeanen met hun klachten naar een onafhankelijke Ombudsman.

Bovendien krijgt iedereen in Europa die denkt dat zijn of haar gegevens in de VS worden misbruikt een mogelijkheid om verhaal te halen. Bedrijven die zich aan het plan hebben gebonden moeten binnen een bepaalde tijd reageren en zij zijn gebonden aan de besluiten van de nationale toezichthouders van ieder Europees land. Het staat betrokkenen ook vrij naar hun nationale toezichthouders te stappen, in dat geval wordt de klacht doorverwezen naar de Amerikaanse autoriteiten. Als laatste redmiddel is er nog een Privacy Shield Panel dat zich bezig houdt met het beslechten van geschillen.

Een jaarlijks gezamenlijk evaluatiemechanisme maakt het de Europese Commissie mogelijk om regelmatig de functionaliteit van alle onderdelen van de Privacy Shield te bewaken. De Commissie zal samen met het Amerikaanse ministerie van Economische Zaken de toets uitvoeren, en zij mogen daarbij gebruik maken van alle informatiebronnen. Op deze manier kunnen de VS aansprakelijk worden gehouden voor schending van hun verplichtingen.

Als de nieuwe regels niet worden nageleefd door bedrijven dan wel door de Amerikaanse overheid, dan kan de Commissie de Privacy Shield opschorten. In dat geval mogen Europese persoonsgegevens niet meer naar de VS worden overgedragen.

En nu?

Een comité bestaande uit vertegenwoordigers uit alle lidstaten zal worden geraadpleegd en de Europese nationale toezichthouders mogen hun mening geven. Ondertussen zullen de VS zich voorbereiden op de inwerkingstelling van het nieuwe plan door de nodige aanpassingen te maken.

Of de Privacy Shield wel zal slagen, moet worden bezien. Dat nu niet alleen bedrijven gebonden zijn aan de nieuwe regels is een vooruitgang, maar de Amerikaanse overheid blijft ook onder de Privacy Shield toegang behouden tot Europese persoonsgegevens. Het is de vraag of het voorgestelde toezicht dit kan rechtvaardigen.

Google verruimt recht om vergeten te worden

Google moet identiteit achter valse recensies onthullen