Amerikaanse bedrijven mogen de gegevens van Europese burgers verwerken. Al moeten ze uw privacy garanderen en strikte regels respecteren. Dat is in een notendop de aangepaste versie EU-US Privacy Shield, die de EU deze week bekend maakt.
‘Voor de eerste keer geeft de VS schriftelijke garanties’, klinkt het bij de EU. ‘De regeling is een varken met tien lagen lippenstift’, werpen tegenstanders op. We vertellen u de stand van zaken in het EU-US Privacy Shield.
Waar gaat het over?
Privacy Shield is niet de meest sexy materie, maar het is belangrijk. Het bepaalt onder meer wat Amerikaanse cloudproviders met de gegevens van Europese burgers mogen doen. En het verklaart voor een deel ook waarom steeds meer public cloudproviders Europese datacenters beginnen te gebruiken en deze zelf ook bouwen op ons continent.
We frissen even uw geheugen op: Privacy Shield is het vervolg op Safe Harbor, de regeling die de Verenigde Staten en Europa hadden over het verwerken en opslaan van data. Maar onder meer nadat klokkenluider Edward Snowden de afluisterpraktijken van de Amerikaanse overheidsdienst NSA aan het licht bracht (en nadat de Oostenrijker Max Schrems op zijn beurt Facebook het vuur aan de schenen legde), voerde het Europees Hof van Justitie de Safe Harbor-regeling af.
Sinds twee jaar werkten de twee grootmachten aan een opvolger, waardoor zij opnieuw legaal data van Europese gebruikers in de VS mogen verwerken. ‘Wij verwelkomen de nieuwe EU-US Privacy Shield-overeenkomst’, oppert Czaba Krasznay, it-security expert bij Balabit. ‘Deze regeling breidt de strikte EU-regels uit naar Amerikaanse bedrijven, wat echt een voordeel is om overzee aan zaken te doen’, stelt hij.
De regeling is noodzakelijk, want verwerken van persoonsgegevens van Europeanen in Amerikaanse datacenters ligt namelijk in de illegale sfeer, dus werpt de nieuwe regeling zich op. ‘Het recente EU-US Privacy Shield is iets waar bedrijven compliant mee zullen moeten zijn. En het is tegelijk ook een extra reden om datamanagement binnen organisaties hoog op de agenda te houden’, beweert Rens Koopman, country manager Benelux van Commvault.
Waaruit bestaat de nieuwe regeling?
Deze week maakte de EU nieuwe details bekend over het aangepaste Privacy Shield. ‘Voor de eerste keer geeft de Amerikaanse overheid schriftelijk garanties aan de EU dat gelijk welke toegang van publieke instanties voor redenen van nationale veiligheid gebonden zijn aan duidelijke beperkingen en controlemechanismen, om algemene toegang tot tegen te gaan’, zo klinkt het EU persbericht fier.
De tekst bevat nieuwe regels voor bedrijven en moet ervoor zorgen dat toegang tot gegevens door de Amerikaanse overheid beperkt blijft. ‘We blijven werken om het vertrouwen in de online wereld te versterken’, aldus Andrus Ansip, vicepresident van de Europese Commissie, die de aanpassingen van het Privacy Shield evenzeer toejuicht.
We overlopen even wat van tel is in de nieuwe regeling:
– Niet zomaar burgers bespieden
De Amerikaanse geheime dienst mag niet zomaar Europese burgers bespioneren. De Verenigde Staten formuleerden schriftelijke garanties dat hun geheime dienst data van Europese burgers alleen aftapt als daar noodzaak voor is (‘gespecificeerde en gelimiteerde doeleinden’ als terrorismebestrijding, cybersecurity of internationale criminaliteit). Volgens de Europese Commissie zouden er ‘duidelijke beperkingen, waarborgen en toezichtmechanismen’ ingesteld zijn. Hoe dit concreet zit, is nog niet duidelijk. De principes wel.
Het Amerikaanse ministerie van Economische Zaken houdt er ook toezicht op dat bedrijven zich houden aan het Privacy Shield, en het zorgt voor een up-to-date lijst met alle aangesloten bedrijven. Als bedrijven zich toch niet aan het Privacy Shield houden, dan volgen er sancties.
Verder zou er ook een uitstapclausule (opt-out) bestaan voor bepaalde vormen van gegevensverwerking: om te voorkomen dat gegevens aan derden worden verstrekt of om tegen te gaan dat persoonsgegevens verwerkt worden voor een geheel ander doel dan waarvoor ze zijn verzameld.
– 45 dagen voor klachten
Als u een klacht indient bij een Amerikaans bedrijf over het verwerken van uw data, moet de klacht binnen 45 dagen in behandeling worden genomen. U kunt als gebruiker een klacht bij het bedrijf indienen of aankloppen bij de lokale privacy commissie. Ook wordt er een speciaal Europees panel opgericht dat dergelijke klachten in behandeling kan nemen. Verder stellen de VS een onafhankelijke ombudsman aan die klachten over de spionagepraktijken van de NSA behandelt.
Aan instanties dus geen gebrek, en ook de juridische basis verbetert. Recent raakte namelijk ook bekend dat de Amerikaanse senaat een wet uitbracht die Europeanen de mogelijkheid biedt om een rechtszaak in te zetten bij de Amerikaanse rechter, in het geval dat Amerikaanse veiligheidsdiensten inzake persoonlijke data van Europeanen de Amerikaanse privacywet zouden hebben overtreden.
– Elk jaar opnieuw beoordeeld
Het Privacy Shield wordt elk jaar door de Europese Commissie en het Amerikaanse ministerie van Economische Zaken opnieuw (en dus gezamenlijk) beoordeeld. Bij deze beoordeling worden ook de spionagepraktijken van onder andere de NSA en de geheime dienst mee geëvalueerd. Dat gebeurt onder andere op basis van transparantierapporten van bedrijven, die meegeven hoe vaak ze door een overheid zijn benaderd om gegevens over te dragen.
Wat zijn de reacties?
Vertegenwoordigers van de EU-lidstaten en het overlegorgaan van de nationale privacytoezichthouders bestuderen de ontwerptekst van de Privacy Shield-overeenkomst in de komende weken en maanden. Daarna wordt de uiteindelijke tekst vastgesteld, al zou die grotendeels gebaseerd zijn op wat nu op tafel ligt. De EU-vertegenwoordigers lijken alvast optimistisch en benadrukken de VS tot duidelijke (en schriftelijke) garanties te hebben gedwongen.
Toch is niet iedereen even enthousiast over het akkoord dat in de maak is. ‘De EU en VS proberen zo’n tien lagen lippenstift op een varken aan te brengen’, oppert Max Schrems, de jonge Oostenrijker en privacy activist, bekend van zijn rechtszaak tegen Facebook. Schrems vindt dat zijn data ook met de nieuwe regeling niet veilig zullen zijn op de Amerikaanse servers van Facebook, en dat het Privacy Shield daar weinig verandering in zal brengen.
Hij is van mening dat de nieuwe regels een poging zijn ‘om Safe Harbour nieuw leven in te blazen’ en dat de regeling waarschijnlijk snel weer voor het Europese Hof van Justitie in Luxemburg zal worden gebracht. ‘Misschien wel door mezelf’, zo klonk het fijntjes.
