Eerste jaarlijkse Privacy Shield evaluatie zal het raamwerk grondig toetsen | Kennedy Van der Laan

Eerste jaarlijkse Privacy Shield evaluatie zal het raamwerk grondig toetsen

De eerste jaarlijkse evaluatie van het EU-U.S. Privacy Shield (“Privacy Shield”) staat gepland voor september 2017 in Washington, D.C. De eerste evaluatie is met name van belang voor het programma, omdat de verwachting is dat toezichthouders in zowel de VS als de EU de werking van het eerste jaar van het Privacy Shield zorgvuldig tegen het licht zullen houden, de zorgen die geuit zijn zullen bespreken en proberen om ervoor te zorgen dat het Privacy Shield blijft gelden als een geldige basis voor overdracht van persoonsgegevens van de EU naar de VS.

Op grond van de afspraken in het Privacy Shield wordt een jaarlijkse gezamenlijke toetsing uitgevoerd door het Amerikaanse Ministerie van Handel en de Europese Commissie, waarbij de FTC, de gegevensbeschermingsautoriteiten van de EU en vertegenwoordigers van de Artikel 29 Werkgroep deelnemen. Toezichthouders hebben ook aangegeven dat zij van plan zijn feedback en opmerkingen van andere belanghebbenden van het Privacy Shield te vragen en op te nemen in het kader van de herzieningsprocedure, waaronder die van deelnemende bedrijven en andere geïnteresseerde organisaties.

Hoewel dit de eerste jaarlijkse evaluatie betreft, is het belangrijk om op te merken dat het Privacy Shield reeds met een publieke kritische blik is bekeken. De concepttekst van het kader werd in februari 2016 vrijgegeven, enkele maanden voor de definitieve release in juli en een aantal belanghebbenden heeft de gelegenheid gehad om op de tekst te reageren, wat heeft geleid tot een aantal verbeteringen. Daar is het niet bij gebleven. In het afgelopen jaar hebben Europese instellingen, ngo’s en het bedrijfsleven in zowel de EU als de Verenigde Staten heftig gedebatteerd over de verdiensten van het Privacy Shield.

Uiteraard is het onmogelijk voorspellingen te doen over de resultaten van de aanstaande evaluatie, maar er zijn in het afgelopen jaar wel een paar belangrijke ontwikkelingen geweest die vermoedelijk zullen meespelen:

  • Een rechtszaak om de annulering van het Privacy Shield te bevechten kon twee maanden na de publicatie ervan in het EU-Publicatieblad voor het Gerecht van de Europese Unie worden aangebracht. Hoewel twee ngo’s een rechtszaak hebben aangespannen (Digital Rights Ireland en La Quadrature du Net), heeft geen van de EU-instellingen of lidstaten hiervoor gekozen.
  • De aanhangige rechtszaken werpen een schaduw over de toekomst van het Privacy Shield, maar hebben het bedrijfsleven niet ontmoedigd om deel te nemen. Meer dan 2.000 organisaties hebben zichzelf gecertificeerd. Tot op heden lijken er geen klachten over het Privacy Shield te zijn die niet door deze organisaties intern konden worden opgelost.
  • Het EU-Parlement heeft onlangs een resolutie aangenomen waarin zorgen over het Privacy Shield worden geuit, maar erkende ook de “aanzienlijke verbeteringen” ten opzichte van het voorafgaande Safe Harbor-kader en benadrukte het belang van een “grondig en diepgaand onderzoek” van het Privacy Shield tijdens de eerste jaarlijkse toetsing.
  • Zoals aangegeven in de resolutie van het Europees Parlement, zijn er aan de kant van de stakeholders in de EU zorgen geuit dat de regering-Trump minder toegewijd is aan het Privacy Shield dan de regering-Obama, die het kader vorig jaar heeft aangenomen. Maar er zijn geen aanwijzingen dat de ambtenaren van de regering-Trump minder toegewijd zijn aan het Privacy Shield dan hun voorgangers en er zijn geen wijzigingen aangebracht in de Amerikaanse wetgeving of praktijk die het Privacy Shield ter discussie stellen. En in feite hebben zowel de Minister van Economische Zaken Wilbur Ross en de fungerend FTC-voorzitter Maureen Ohlhausen publieke uitspraken gedaan ter ondersteuning van het Privacy Shield.

Hoewel het Privacy Shield zich richt op gegevensdoorgifte tussen particuliere organisaties, is een centraal element van het kader vanuit een EU-standpunt de potentiële toegang tot persoonsgegevens door de veiligheids- en wetshandhavingsautoriteiten van de VS zodra deze zijn doorgegeven naar de Verenigde Staten. De problemen omtrent rechtshandhaving en nationale veiligheid zullen waarschijnlijk een belangrijk punt zijn in de jaarlijkse toetsing. Ondanks die zorgen zullen de volgende ontwikkelingen een positief effect hebben:

  • De regering-Trump heeft formeel aangekondigd dat Judith Garber de nieuwe Privacy Shield Ombudsman is.
  • De NSA heeft een publieke verklaring uitgegeven waarin zij aangeeft te stoppen met bepaalde buitenlandse toezichtsactiviteiten die worden uitgevoerd onder Artikel 702 van de FISA Amendments Act.
  • Hoewel een decreet betreffende de Privacywet van 1974 in eerste instantie verwarring in de EU veroorzaakte, verduidelijkte de Commissie snel dat de Privacywet geen wettelijke grondslag voor het Privacy Shield was en dat het decreet geen invloed op het Privacy Shield had.

Tot slot, op het punt van de werking van het Privacy Shield zelf hebben meer dan 2.000 organisaties zichzelf gecertificeerd voor het kader. Tot op heden lijken er geen klachten over het Privacy Shield te zijn die niet door deze organisaties intern zijn opgelost.

Kortom, ondanks een bewogen eerste jaar lijkt het Privacy Shield een gedegen basis te leggen voor trans-Atlantische doorgifte van persoonsgegevens. De jaarlijkse evaluatie zal moeten uitwijzen of deze indruk door iedereen gedeeld wordt.

Dit artikel is mede gebaseerd op een artikel van David Bender, werkzaam bij Covington & Burling LLP. Dat artikel is hier te vinden.