Onderhandelaars van de Europese Unie en de Verenigde Staten hebben een overeenkomst bereikt over een nieuw verdrag, het Privacy Shield, ter vervanging van het in oktober verworpen Safe Harbour. Dat maakte de Europese Commissie bekend op 2 februari jl. De DDA is blij met dit akkoord. Een goed geborgde uitwisseling van data tussen de EU en de V.S. is van groot belang voor onze samenleving en onze economie.
EU US Privacy Shield
Met het verdrag, dat de naam ‘EU US Privacy Shield’ draagt, wordt beoogd data overdracht van Europa naar de V.S waarbij gegevens van Europese burgers betrokken zijn te beschermen tegen massa surveillance of andere ongeautoriseerde toegang in de V.S. Een van de belangrijkste redenen voor het Europees Hof van Justitie om Safe Harbour ongeldig te verklaren, was het massale aftappen van het internet door de Amerikaanse National Security Agency (NSA). Het bleek dat de gegevens over Europese burgers die Amerikaanse bedrijven in Europa verzamelden en vervolgens lieten opslaan in datacenters in de V.S., door de Amerikaanse overheid ingezien werden.
De V.S. beloven nu dat zij geen massa surveillance zullen toepassen op data van Europese burgers en zal een Amerikaanse ombudsman ingesteld worden waar Europeanen terecht kunnen met klachten over onterechte toegang tot gegevens. Het verdrag werd na drie maanden van onderhandelen gesloten.
Nieuwe verdrag
Met het nieuwe verdrag is het de bedoeling dat de privacy van Europese burgers beter gewaarborgd wordt. Vooralsnog gaat het om een raamwerk en moeten de juridische bepalingen nog ingevuld worden. De bedoeling is dat de Europese Commissie jaarlijks de naleving van het verdrag door de V.S., en in het bijzonder de Amerikaanse inlichtingendiensten, gaat controleren. Daarnaast zullen de regels voor Amerikaanse bedrijven in Europa aangescherpt worden, zo zal data overdracht tussen bedrijven strenger gereguleerd gaan worden. Hoe dit concreet ingevuld zal gaan worden is nog niet bekend. Wel is zeker dat bedrijven uitsluiting van de ‘EU US Privacy Shield’ lijst riskeren als zij zich niet aan de regels houden.
Stijn Grove, directeur van de DDA: ‘Het is goed dat men tot overeenstemming is gekomen. Nederland is met haar vele datacenters een belangrijk landings- en distributie-punt van data voor veel Amerikaans bedrijven. Als digitale mainport, de Digital Gateway to Europe, was een snelle oplossing voor het wegvallen van Safe Harbour nodig, gezien het belang voor onze samenleving en onze economie. We zijn dus blij met dit nieuws’.
Vervolg
Het zal nog een aantal maanden duren voordat het verdrag in werking kan treden. Het is niet ondenkbaar dat er alsnog meningsverschillen zullen ontstaan over de exacte juridische formulering. Pas als het verdrag opgesteld is, wordt ook duidelijk in hoeverre de toezeggingen van de V.S. stand houden en door de EU gecontroleerd kunnen gaan worden. Bovendien moeten alle 28 lidstaten het verdrag nog ratificeren en krijgen ook nationale privacy waakhonden zoals de Autoriteit Persoonsgegevens de gelegenheid om invloed uit te oefenen op de invulling van het verdrag. DDA directeur Grove: ‘We blijven het verdere proces nauwgezet volgen. Gezien de resultaten die nu geboekt zijn, hebben we alle vertrouwen in een goede verdere uitwerking van Privacy Shield’.