Legally Blogged is een blog voor iedereen die wil weten wat zijn of haar rechten op het internet zijn en welke juridische ontwikkelingen er nu spelen. Op een begrijpelijke maar juridisch onderbouwde manier worden onderwerpen behandeld die voor internetgebruikers relevant zijn, bijvoorbeeld op het gebied van privacy, intellectueel eigendom, vrijheid van meningsuiting en informatietechnologie.

 

De EU-US Privacy Shield is er nu dan toch echt

Nadat Safe Harbor in oktober 2015 door het Hof van Justitie ongeldig was verklaard moest de Europese Commissie met een nieuw plan komen. Afgelopen dinsdag heeft de Europese Commissie nieuwe regels aangenomen voor de uitwisseling van persoonsgegevens van Europa naar de VS. Wil je weten wat daaraan vooraf is gegaan? Lees hier de achtergrond.

De Privacy Shield moet fundamentele rechten van individuelen beschermen bij overdracht van hun gegevens naar de VS. Van overdracht is bijvoorbeeld sprake wanneer Europeanen een Facebookprofiel aanmaken: persoongegevens worden dan opgeslagen op de servers van Facebook Inc. in Amerika. De voorwaarden voor overdracht zijn ontwikkeld door het Europese Hof van Justitie nadat het eerdere plan, getiteld Safe Harbor, in strijd met de Europese Richtlijn persoonsgegevens werd verklaard. Voor de uitwisseling van persoonsgegevens tussen de EU en de VS moet sprake zijn van adequaat beschermingsniveau in de VS, wat betekent dat persoonsgegevens in de VS even veilig zijn als in de Europese Unie. Met de invoering van de Privacy Shield is — volgens de Europese Commissie — hieraan voldaan.

Onder de Privacy Shield zullen strengere verplichtingen gelden voor ondernemingen die gegevens behandelen. Het Amerikaanse ministerie van Handel zal regelmatig de deelnemende ondernemingen updaten en controleren zodat zij zich ook daadwerkelijk aan de regels houden waartoe zij zich hebben verbonden. Worden de regels niet nageleefd, dan kunnen sancties opgelegd worden en zelfs verwijdering van de lijst is mogelijk. Verdere doorgifte van gegevens naar derden zal alleen zijn toegestaan onder nog strengere voorwaarden.

Onder Safe Harbor was de Amerikaanse overheid niet gebonden aan de regels die de bescherming van Europese persoonsgegevens moesten waarborgen, maar dat zal nu veranderen. Er zullen duidelijke waarborgen, beperkingen en transparantieverplichtingen gelden voor de toegang tot gegevens door de Amerikaanse overheid. Europese burgers zullen voor het eerst ook verhaal kunnen halen via een ombudsman binnen het ministerie van Buitenlandse Zaken. Massasurveillance door de Amerikaanse overheid is bovendien uitgesloten: dit zal alleen zo gericht mogelijk en onder specifieke voorwaarden gebeuren.

Een burger die meent dat zijn gegevens zijn misbruikt zal een beroep kunnen doen op verschillende toegankelijke en betaalbare manieren van geschillenbeslechting. In eerste instantie zal dit door de onderneming die persoonsgegevens verwerkt zelf opgelost moeten worden, en anders is er de mogelijkheid tot alternatieve geschillenbeslechting. Daarnaast kunnen burgers naar hun nationale privacy-autoriteiten stappen. Als laatste mogelijkheid kan er een arbitrageprocedure gestart worden. Voor nationale veiligheid kunnen EU-burgers contact opnemen met een ombudsman die onafhankelijk is van de Amerikaanse inlichtingendiensten.

Amerikaanse bedrijven kunnen zich laten registreren om op de Privacy Shield-lijst te komen. Hiermee beloven ze dat ze voldoen aan de hoge standaarden voor gegevensbescherming. Ze zullen zich ieder jaar moeten registreren. Het Amerikaanse ministerie van Handel zal nagaan of de bedrijven zich aan de regels houden. Om de Privacy Shield in goede banen te leiden zal er ieder jaar een gezamenlijke evaluatie plaatsvinden. De evaluatie zal verricht worden door de Europese Commissie en het Amerikaanse ministerie van Handel; Amerikaanse en Europese deskundigen zullen hierbij worden betrokken.

Ook de Privacy Shield blijft omstreden en de kans is groot dat het Hof van Justitie zich opnieuw zal buigen over de toelaatbaarheid van de nieuwe afspraken. Volgens critici is het voor de Amerikaanse overheid nog steeds mogelijk om op grote schaal persoonsgegevens te verzamelen en zijn de regels waar bedrijven zich aan moeten houden te breed geformuleerd.

 

Kort: schendt Pokémon Go de privacy van gebruikers?

Kort: YouTubers aangeklaagd voor het maken van reclame voor eigen goksite