mrt 18, 2016 / door Jan-Willem Ligtelijn / In Privacy

EU-US Privacy shield – Safe Harbor 2.0?

6 oktober 2015 was een zware dag voor een aantal belanghebbenden binnen de handelsbetrekkingen tussen de Verenigde Staten en Europa. Het Europese hof verklaarde het Safe Harbor verdrag ongeldig. Vrijwel direct na de uitspraak werd aangekondigd dat Safe Harbor 2.0 eraan zat te komen. En toen werd het een tijdje stil…

Safe Harbor 2.0 vervangen door EU-US Privacy shield

29 februari 2016 is de concepttekst gepubliceerd vanuit de Europese Commissie met betrekking tot het voorgenomen verdrag “EU-US Privacy Shield”. Dit verdrag is verschillend van opzet met het originele Safe Harbor. De concepttekst is nog niet goedgekeurd door de EU privacy waakhonden.

Het privacy shield richt zich sterker op veiligheidsaspecten binnen het dataverkeer tussen Europa en de Verenigde Staten. Binnen dit conceptverdrag belooft de Amerikaanse overheid de volgende punten:

  • Geen grootschalige digitale surveillance uit te voeren op Europese data.
  • Datastromen van bedrijven zouden niet mogen worden gebruikt door inlichtingendiensten zoals de NSA.
  • Amerikaanse bedrijven worden gecontroleerd of ze aan de regels binnen het EU-US privacy shield verdrag voldoen.
  • Geschillen moeten worden opgelost door een door de Verenigde Staten aangewezen ombudsman.

Verplichting tot aanmelden bij het Privacy Shield programma

Er komt een zogenaamde Privacy Shield lijst met deelnemende Amerikaanse bedrijven. Deze bedrijven die met Europese data werken of verwerken zijn verplicht zich aan te melden voor het programma. Het grote verschil met Safe Harbor is dat deze bedrijven ook daadwerkelijk gecontroleerd worden, waarbij in het originele Safe Harbor verdrag sprake was van zelfregulering. Bedrijven die niet voldoen aan de richtlijnen van het programma worden geschrapt van deze lijst.

Hoe nu verder?

De Europese privacywaakhonden (de Artikel 29 werkgroep) zal een advies uitbrengen. Vervolgens zal de Europese Commissie een beslissing nemen.

De eerste signalen over het Privacy Shield

De eerste signalen zijn wederom negatief vanuit particuliere, publieke en commerciële entiteiten. Het woord “gatenkaas” komt vaak voorbij en er wordt gezegd dat de Amerikaanse overheden nog steeds toegang hebben tot data van Amerikaanse bedrijven, maar dat er een aantal filters worden toegepast. Onder deze voorwaarde zou de Europese Commissie datacollectie wel toe willen staan. De voorlopige tekst kunt u hier nalezen.

Wat vindt Sir Miles ervan

Als we de tekst goed bestuderen lezen we eigenlijk hetzelfde als overige criticasters op het internet. De Verenigde Staten geven aan dat de inlichtingendiensten nog steeds toegang hebben tot alle Europese data. Het gaat om het stekende woordje “bulkcollectie” of “generalised access”. Omdat er voorwaarden zijn afgesproken met betrekking tot het filteren van deze data en het reduceren van het aantal te plaatsen filters door deze inlichtingendiensten wordt het verzamelen van data niet meer gerekend tot “bulkcollectie” volgens de Europese Commissie. Dit is in onze ogen natuurlijk onzin. De letterlijke tekst luidt:

“clear safeguards and transparency obligations on U.S. government access: for the first time, the U.S. government has given the EU written assurance from the Office of the Director of National Intelligence that any access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms, preventing generalised access to personal data.”

Als we het document verder doornemen zien we dat “generalised access” nogal ruim wordt genomen door de Verenigde Staten. Deze afspraken zijn vastgelegd in publicatie PDD-28. Hierin wordt uiteengezet wat wel en niet mag met betrekking tot datacollectie. Wat wel of niet onder deze term valt, wordt door de inlichtingendiensten zelf bepaald. Daarnaast kunnen zij bepalen wat “reasonableness” is. Klik hier om de volledige tekst te lezen over PDD-28

Kortom: Er is weinig tot geen beperking op het gebruiken van Europese data. De grootste rede om het originele Safe Harbor verdrag ongeldig te verklaren, staat nog steeds.