De Verenigde Staten en de Europese Unie zijn het in principe eens over een nieuw privacy akkoord. Net op tijd want de VS en de EU hadden ondanks de deadline van 31 januari tot gisteren nog geen overeenkomst bereikt over het nieuwe Safe Harbor verdrag: het Privacyschild. Dat is voor de ruim 4.000 bedrijven die vertrouwelijke gegevens hebben opgeslagen op servers in de VS van groot belang.

De  Europese pricacybewakers – de zogenaamde  ‘Artikel 29 Werkgroep’, waaronder de Nederlandse Autoriteit Persoonsgegevens (AP) – reageren terughoudend op het nieuwe akkoord. Zij willen de officiële stukken eerst goed bestuderen. Is uw data daadwerkelijk veilig (genoeg)? Het is afwachten op de uitwerking en de details van het verdrag.

Het Safe Harbor verdrag

Het Safe Harbor verdrag zorgde er voor dat Amerikaanse bedrijven Europese data mochten opslaan.  Deze data valt onder de Europese privacywetgeving. Volgens die wetten mogen persoonlijke gegevens namelijk niet opgeslagen worden in landen waar de privacy onvoldoende is gegarandeerd. Dit is voor onder andere de Verenigde Staten het geval. Bedrijven die zijn aangesloten bij het Safe Harbor netwerk garandeerden dat zij de Europese privacy wetten naleefden. Hierdoor konden zij toch Europese persoonsgegevens in de Verenigde Staten opslaan.

Het Europees Hof van Justitie verklaarde in oktober 2015 het Safe Harbor verdrag echter ongeldig. Dit omdat uit de onthullingen van Edward Snowden bleek dat de Amerikaanse inlichtingendienst NSA, massaal privacy gevoelige informatie van Europeanen onderschepte en bewaarde. Aangezien  dit in strijd is met Europese wetgeving werd het in principe strafbaar om privégegevens van Europeanen op Amerikaanse servers op te slaan.

EU-VS Privacyschild – vervanging van het Safe Harbor verdrag

Het EU-VS Privacyschild (EU-US Privacy Shield) vervangt het oude ‘Safe Harbor’ verdrag dat eind 2015 ongeldig werd verklaard. Het verdrag moet betere garanties geven over de veiligheid van  persoonlijke gegevens van Europeanen. Het akkoord is na lang onderhandelen tot stand gekomen en moet het makkelijker maken persoonsgegevens van elkaars burgers te verwerken. Het verdrag moet over enkele maanden in werking treden. Er zijn nieuwe afspraken gemaakt over het waarborgen van de privacy van persoonlijke data die tussen Europese en Amerikaanse bedrijven wordt uitgewisseld, zoals bij opslag op servers van datacentra in de VS. De details moeten nog wel worden uitgewerkt. Er zijn door de VS toezeggingen gedaan maar deze moeten juridisch nog worden uitgewerkt. Het is onduidelijk of de afspraken voldoende bescherming bieden aan de Europese burger. Gezien de moeizame onderhandelingen is het ook nog niet honderd procent zeker dat het akkoord definitief wordt vastgesteld. De hoop is dat het akkoord over ongeveer drie maanden politiek is goedgekeurd.

De Europese onderhandelaars focussen op het Europese recht op privacy van de burger. Ze willen transparantie, adequaat toezicht, garanties en juridische zekerheid. Met name het op grote schaal doorzoeken van persoonlijke data door de autoriteiten (NSA) is iets waar men van Europese zijde van af wil. Toegang is – wat de Europese autoriteiten betreft – alleen toegestaan, wanneer absoluut noodzakelijk en proportioneel. In het nieuwe verdrag zijn afspraken opgenomen over de toegang die de Amerikaanse overheid heeft tot data van Europeanen.

Afspraken

• Willekeurige massaspionage door de NSA wordt onmogelijk. De VS garanderen geen ‘massasurveillance’ meer toe te passen op Europese gegevens. Het is voor het eerst dat hierover geschreven en gedetailleerde garanties worden gegeven. Het is alleen nog onduidelijk in welke gevallen de geheime diensten dan wel toegang tot de data mogen krijgen.
• Er komt een onafhankelijke ombudsman waar Europeanen terecht kunnen met klachten over eventueel misbruik van data. Binnen welke bevoegdheden deze ombudsman kan opereren om toezicht te houden, en of dit voldoende zal zijn, is nog niet bekend
• Het akkoord wordt vanaf 2017 jaarlijks geëvalueerd en kan waar nodig aangepast.

Hier vindt u het officiële persbericht van de Europese Commissie en hier de reactie van de Artikel 29 Werkgroep (de Europese privacywaakhond).